Un nouvel avis CISA met en garde contre une vulnérabilité critique de la chaîne d'approvisionnement logicielle affectant le SDK de ThroughTek (Kit de développement logiciel). La faille, identifié comme CVE-2021-32934 pourrait être abusé pour obtenir un accès inapproprié aux flux audio et vidéo. D'autres scénarios de compromission incluent l'usurpation d'appareils vulnérables et le détournement de leurs certificats.
Vulnérabilité critique ThroughTek CVE-2021-32934
"ThroughTek fournit à plusieurs fabricants d'équipement d'origine de caméras IP des connexions P2P dans le cadre de sa plate-forme cloud. L'exploitation réussie de cette vulnérabilité pourrait permettre un accès non autorisé à des informations sensibles, tels que les flux audio/vidéo de la caméra," L'avis de la CISA dit.
Le problème provient du fait que les produits P2P de ThroughTek ne protègent pas les données transférées entre l'appareil local et les serveurs de l'entreprise. Le manque de protection pourrait permettre aux pirates d'accéder à des informations sensibles, y compris les flux de caméra. En raison du risque immense découlant du défaut, il a été évalué avec un score CVSS de 9.1, ou critique.
La version SDK et le firmware concernés incluent toutes les versions ci-dessous 3.1.10; Versions SDK avec balise nossl; firmware de l'appareil qui n'utilise pas AuthKey pour la connexion IOTC; firmware qui utilise le module AVAPI sans activer le mécanisme DTLS, et firmware utilisant P2PTunnel ou module RTD.
Il est à noter que l'exploitation réussie de la vulnérabilité CVE-2021-32934 nécessite une connaissance sophistiquée de la sécurité du réseau, outils de renifleur de réseau, et algorithmes de cryptage.
Atténuations contre CVE-2021-32934
ThroughTek a recommandé deux méthodes d'atténuation. Les fabricants d'équipement d'origine doivent déployer les mesures d'atténuation suivantes:
- Si SDK est la version 3.1.10 et ci-dessus, activer la clé d'authentification et DTLS.
- Si le SDK est une version antérieure à 3.1.10, mettre à niveau la bibliothèque vers la v3.3.1.0 ou la v3.4.2.0 et activer authkey/DTLS.
« Cette vulnérabilité a été corrigée dans la version SDK 3.3 et au-delà, qui a été publié à la mi-2020. Nous vous suggérons FORTEMENT de vérifier la version du SDK appliquée à votre produit et de suivre les instructions ci-dessous pour éviter tout problème potentiel.," Le propre avis de ThroughTek dit.
La société encourage également ses clients à continuer de surveiller les futures versions du SDK en réponse aux nouvelles menaces de sécurité..
L'année dernière, des millions de caméras de vidéosurveillance et d'autres appareils IoT se sont avérés vulnérables aux attaques de piratage utilisant plusieurs bogues de sécurité, y compris celui suivi dans l'avis CVE-2019-11219. Une grande majorité de ces appareils sont contrôlés par l'application CamHi, et sont massivement utilisés en Europe et au Royaume-Uni.