Eine neue CISA-Warnung warnt vor einer kritischen Schwachstelle in der Software-Lieferkette, die das SDK von ThroughTek betrifft (Software Development Kit). Der Fehler, als CVE-2021-32934 identifiziert, könnte missbraucht werden, um sich unberechtigten Zugriff auf Audio- und Videostreams zu verschaffen. Andere Gefährdungsszenarien umfassen das Spoofing anfälliger Geräte und das Entführen ihrer Zertifikate.
Kritische Schwachstelle in ThroughTek CVE-2021-32934
„ThroughTek beliefert mehrere Erstausrüster von IP-Kameras mit P2P-Verbindungen als Teil seiner Cloud-Plattform. Die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit könnte unbefugten Zugriff auf sensible Informationen ermöglichen permit, wie Kamera-Audio-/Video-Feeds," Das Gutachten des KAG sagt.
Das Problem ergibt sich aus der Tatsache, dass die P2P-Produkte von ThroughTek die zwischen dem lokalen Gerät und den Servern des Unternehmens übertragenen Daten nicht schützen. Der fehlende Schutz könnte es Hackern ermöglichen, auf sensible Informationen zuzugreifen, inklusive Kamera-Feeds. Aufgrund des immensen Risikos aufgrund des Fehlers, es wurde mit einem CVSS-Score von bewertet 9.1, oder kritisch.
Die betroffene SDK-Version und -Firmware umfasst alle unten aufgeführten Versionen 3.1.10; SDK-Versionen mit Nossl-Tag; Gerätefirmware, die keinen AuthKey für die IOTC-Verbindung verwendet; Firmware, die das AVAPI-Modul verwendet, ohne den DTLS-Mechanismus zu aktivieren, und Firmware mit P2PTunnel- oder RTD-Modul.
Es ist bemerkenswert, dass eine erfolgreiche Ausnutzung der Schwachstelle CVE-2021-32934 umfassende Kenntnisse der Netzwerksicherheit erfordert, Netzwerk-Sniffer-Tools, und Verschlüsselungsalgorithmen.
Minderungsmaßnahmen gegen CVE-2021-32934
ThroughTek hat zwei Abschwächungsmethoden empfohlen. Erstausrüster sollten die folgenden Maßnahmen ergreifen:
- Wenn SDK Version ist 3.1.10 und darüber, Authentifizierungsschlüssel und DTLS aktivieren.
- Wenn SDK eine ältere Version ist als 3.1.10, Aktualisieren Sie die Bibliothek auf v3.3.1.0 oder v3.4.2.0 und aktivieren Sie authkey/DTLS.
„Diese Sicherheitsanfälligkeit wurde in der SDK-Version behoben 3.3 und weiter, die Mitte 2020 erschienen ist. Wir empfehlen Ihnen DRINGEND, die in Ihrem Produkt verwendete SDK-Version zu überprüfen und die folgenden Anweisungen zu befolgen, um potenzielle Probleme zu vermeiden,“ThroughTeks eigener Ratgeber sagt.
Das Unternehmen ermutigt seine Kunden auch, die zukünftigen SDK-Versionen als Reaktion auf neue Sicherheitsbedrohungen weiterhin zu überwachen.
Letztes Jahr, Millionen von CCTV-Kameras und anderen IoT-Geräten erwiesen sich als anfällig für Hacking-Angriffe mit mehreren Sicherheitsfehlern, einschließlich der im CVE-2019-11219-Hinweis erfassten. Eine große Mehrheit dieser Geräte wird von der CamHi-Anwendung gesteuert, und werden überwiegend in ganz Europa und Großbritannien verwendet.