安全研究人员发现了另一个影响数百万设备的关键物联网设备的供应链漏洞,这可能使攻击者能够窃听实时摄像头信息。
在向网络安全和基础设施安全局(CISA)报告后,网络安全公司Mandiant于昨天披露了CVE-2021-28372漏洞。
它影响使用来自中国台湾公司ThroughTek的“Kalay”平台的设备,该公司为原始设备制造商提供用于IP摄像机、婴儿和宠物监控摄像机、数字视频录像机(DVR)等的软件。
尽管Mandiant无法确切确定有多少设备受到影响,但该公司警告说,据ThroughTek称,目前有超过8300万台设备在使用Kalay。
该消息是Nozomi Networks发现ThroughTek P2P SDK中的一个严重缺陷几个月后发布的。然而,Mandiant声称,与该缺陷不同的是,该缺陷允许威胁行为者与设备进行远程通信,为远程代码执行攻击打开了大门。
也就是说,漏洞利用远非易事。
安全公司解释说:
攻击者需要全面了解Kalay协议以及生成和发送消息的能力。攻击者还需要通过社会工程或返回Kalay UID的API或服务中的其他漏洞来获取Kalay UID。
从那里,攻击者将能够远程破坏与获得的UID相对应的受影响设备。
Mandiant与ThroughTek在漏洞披露方面密切合作,他们和CISA都建议任何使用Kalay的组织立即升级到新版本3.1.10。还敦促受影响的公司启用DTLS(保护传输中的数据)和AuthKey(在客户端连接期间增加额外的身份验证层)。
Armis的欧洲网络风险官Andy Norton警告说,物联网设备正日益成为企业安全链中最薄弱的环节。
“尽管物联网设备给组织带来了非常相似的风险,但与IT设备相比,目前缺乏缓解控制措施,”他补充道。
“了解物联网设备的用途并监控其行为方式的变化……是当前物联网设备风险管理的最先进方法。”
