Critical ThroughTek漏洞打开了数百万个连接的摄像头进行窃听

美国网络安全和基础设施安全局（CISA）周二发布了一份关于影响ThroughTek软件开发工具包（SDK）的一个关键软件供应链缺陷的咨询意见，该缺陷可能被对手滥用，以获得对音频和视频流的不当访问。

CISA在警报中表示：“成功利用该漏洞可能会允许未经授权访问敏感信息，如摄像头音频/视频源。”。

ThroughTek的点对点（P2P）SDK广泛用于具有视频监控或音频/视频传输能力的物联网设备，如IP摄像头、婴儿和宠物监控摄像头、智能家电和传感器，以通过互联网远程访问媒体内容。

该缺陷被追踪为CVE-2021-32934（CVSS评分：9.1），影响到ThroughTek P2P产品、3.1.5及之前的版本以及带有nossl标签的SDK版本，并源于在本地设备和ThroughTek服务器之间传输数据时缺乏足够的保护。

该漏洞在2021年3月由NoZoMi网络报道，该报告指出，使用脆弱的安全摄像头可能会暴露出关键基础设施运营商的风险，通过暴露敏感的业务、生产和员工信息。

总部位于旧金山的物联网安全公司ThroughTek表示：“ThroughTek使用的[P2P]协议缺乏安全密钥交换，而是依赖基于固定密钥的模糊处理方案。”。“由于该流量通过互联网，因此能够访问该流量的攻击者可以重建音频/视频流。”

为了证明该漏洞，研究人员创建了一个概念证明（PoC）漏洞，该漏洞可以从网络流量中实时释放数据包。

ThroughTek建议使用SDK 3.1.10及以上版本的原始设备制造商（OEM）启用AuthKey和DTL，以及那些依赖3.1.10之前的SDK版本的制造商将库升级到3.3.1.0或v3版本。4.2.0并启用AuthKey/DTLS。

由于该漏洞影响到作为许多消费者级安全摄像头和物联网设备原始设备制造商供应链一部分的软件组件，因此此类攻击的后果可能会有效破坏设备的安全性，使攻击者能够访问和查看机密音频或视频流。

研究人员说：“由于ThroughTek的P2P库多年来已被多家供应商集成到许多不同的设备中，因此第三方几乎不可能跟踪受影响的产品。”。