Un nuovo avviso CISA avverte di una vulnerabilità critica della catena di fornitura del software che interessa l'SDK di ThroughTek (kit di sviluppo software). Il difetto, identificato come CVE-2021-32934 potrebbe essere abusato per ottenere un accesso improprio a flussi audio e video. Altri scenari di compromissione includono lo spoofing dei dispositivi vulnerabili e il dirottamento dei loro certificati.
Vulnerabilità critica ThroughTek CVE-2021-32934
“ThroughTek fornisce a più produttori di apparecchiature originali di telecamere IP con connessioni P2P come parte della sua piattaforma cloud. Il corretto sfruttamento di questa vulnerabilità potrebbe consentire l'accesso non autorizzato a informazioni sensibili, come i feed audio/video della fotocamera," L'advisory della CISA dice.
Il problema nasce dal fatto che i prodotti P2P di ThroughTek non proteggono i dati trasferiti tra il dispositivo locale e i server dell'azienda. La mancanza di protezione potrebbe consentire agli hacker di accedere a informazioni sensibili, compresi i feed della fotocamera. A causa dell'immenso rischio derivante dal difetto, è stato valutato con un punteggio CVSS di 9.1, o critico.
La versione SDK e il firmware interessati includono tutte le versioni seguenti 3.1.10; Versioni SDK con tag nossl; firmware del dispositivo che non utilizza AuthKey per la connessione IOTC; firmware che utilizza il modulo AVAPI senza abilitare il meccanismo DTLS, e firmware utilizzando P2PTunnel o modulo RTD.
È interessante notare che lo sfruttamento di successo della vulnerabilità CVE-2021-32934 richiede una conoscenza sofisticata della sicurezza della rete, strumenti di sniffer di rete, e algoritmi di crittografia.
Mitigazioni contro CVE-2021-32934
ThroughTek ha consigliato due metodi di mitigazione. I produttori di apparecchiature originali dovrebbero implementare le seguenti mitigazioni:
- Se SDK è Versione 3.1.10 e al di sopra, abilitare authkey e DTLS.
- Se l'SDK è una versione precedente a 3.1.10, aggiorna la libreria alla v3.3.1.0 o v3.4.2.0 e abilita authkey/DTLS.
"Questa vulnerabilità è stata risolta nella versione SDK 3.3 e in poi, che è stato rilasciato a metà del 2020. Ti consigliamo VIVAMENTE di rivedere la versione dell'SDK applicata nel tuo prodotto e seguire le istruzioni di seguito per evitare potenziali problemi,” Lo stesso advisory di ThroughTek dice.
L'azienda incoraggia inoltre i propri clienti a continuare a monitorare le future versioni dell'SDK in risposta alle nuove minacce alla sicurezza.
L'anno scorso, milioni di telecamere CCTV e altri dispositivi IoT sono risultati vulnerabili agli attacchi di hacking utilizzando diversi bug di sicurezza, incluso quello monitorato nell'advisory CVE-2019-11219. La grande maggioranza di questi dispositivi è controllata dall'applicazione CamHi, e sono ampiamente utilizzati in tutta Europa e nel Regno Unito.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: