新しいCISAアドバイザリは、ThroughTekのSDKに影響を与える重大なソフトウェアサプライチェーンの脆弱性について警告します (ソフトウェア開発キット). 欠陥, CVE-2021-32934として識別されたものは、オーディオおよびビデオストリームへの不適切なアクセスを取得するために悪用される可能性があります. その他の侵害シナリオには、脆弱なデバイスのなりすましや証明書のハイジャックが含まれます.
ThroughTekの重大な脆弱性CVE-2021-32934
「ThroughTekは、クラウドプラットフォームの一部として、IPカメラの複数のOEMメーカーにP2P接続を提供しています。. この脆弱性の悪用に成功すると、機密情報への不正アクセスが許可される可能性があります, カメラのオーディオ/ビデオフィードなど,」 CISAの勧告によると.
この問題は、ThroughTekのP2P製品がローカルデバイスと会社のサーバー間で転送されるデータを保護しないという事実に起因します. 保護が欠如していると、ハッカーが機密情報にアクセスする可能性があります, カメラフィードを含む. 欠陥に起因する莫大なリスクのため, CVSSスコアは 9.1, またはクリティカル.
影響を受けるSDKのバージョンとファームウェアには、以下のすべてのバージョンが含まれます 3.1.10; nosslタグ付きのSDKバージョン; IOTC接続にAuthKeyを使用しないデバイスファームウェア; DTLSメカニズムを有効にせずにAVAPIモジュールを利用するファームウェア, およびP2PTunnelまたはRTDモジュールを使用するファームウェア.
CVE-2021-32934の脆弱性をうまく利用するには、ネットワークセキュリティに関する高度な知識が必要であることは注目に値します。, ネットワークスニファツール, および暗号化アルゴリズム.
CVE-2021-32934に対する緩和策
ThroughTekは2つの緩和方法を推奨しています. 相手先ブランド供給メーカーは、次の緩和策を展開する必要があります:
- SDKがバージョンの場合 3.1.10 以上, authkeyとDTLSを有効にする.
- SDKが以前のバージョンの場合 3.1.10, ライブラリをv3.3.1.0またはv3.4.2.0にアップグレードし、authkey/DTLSを有効にします.
「この脆弱性はSDKバージョンで対処されています 3.3 以降, 2020年半ばにリリースされました. 潜在的な問題を回避するために、製品に適用されているSDKバージョンを確認し、以下の手順に従うことを強くお勧めします。,」ThroughTek自身のアドバイザリーは言います.
同社はまた、新しいセキュリティの脅威に対応して、将来のSDKリリースを引き続き監視することを顧客に奨励しています。.
去年, 何百万ものCCTVカメラやその他のIoTデバイス いくつかのセキュリティバグを使用したハッキング攻撃に対して脆弱であることが判明しました, CVE-2019-11219アドバイザリで追跡されたものを含む. これらのデバイスの大部分は、CamHiアプリケーションによって制御されます, そしてヨーロッパとイギリス全体で圧倒的に使用されています.