严重的ThroughTek SDK漏洞可能会让攻击者监视数以百万计的物联网设备

已发现影响ThroughTek Kalay P2P软件开发工具包（SDK）多个版本的安全漏洞，远程攻击者可能会滥用该漏洞控制受影响的设备，并可能导致远程代码执行。

被追踪为CVE-2021-28372（CVSS分数：9.6），FireEye Mandiant于2020年末发现，该缺陷与ThroughTek点对点（P2P）产品中的不当访问控制缺陷有关，成功利用该漏洞可能会导致“能够收听实时音频、观看实时视频数据，并损害设备凭据，以便基于公开的设备功能进行进一步攻击。”

美国网络安全和基础设施安全局（CISA）在一份咨询报告中指出，“成功利用该漏洞可能会允许远程代码执行和未经授权访问敏感信息，如摄像头音频/视频源。”。

据信，Kalay平台上有8300万台活动设备。以下版本的Kalay P2P SDK受到影响-

• 3.1.5及之前版本
• 带有nossl标签的SDK版本
• 不使用AuthKey进行IOTC连接的设备固件
• 在不启用DTLS机制的情况下使用AVAPI模块的设备固件
• 使用P2P隧道或RDT模块的设备固件

这家台湾公司的Kalay平台是一种P2P技术，允许IP摄像头、灯光摄像头、婴儿监视器和其他支持互联网的视频监控产品以低延迟处理大型音频和视频文件的安全传输。这是通过SDK实现的–；卡莱协议的实施–；它被集成到移动和桌面应用程序以及联网物联网设备中。

CVE-2021-28372驻留在设备及其移动应用程序之间的注册过程中，特别是关于它们如何访问和加入Kalay网络，使攻击者能够欺骗受害者设备的标识符（称为UID），从而在网络上恶意注册具有相同UID的设备，导致注册服务器覆盖现有设备，并将连接路由到错误路由到恶意设备。

研究人员说：“一旦攻击者恶意注册了UID，任何试图访问受害者UID的客户端连接都会指向攻击者。”。“然后，攻击者可以继续连接过程，并获取访问设备所需的身份验证材料（用户名和密码）。有了受损的凭据，攻击者可以使用Kalay网络远程连接到原始设备，访问AV数据，并执行RPC调用。”

然而，值得指出的是，对手需要“全面了解”Kalay协议，更不用说通过社会工程或API或服务中的其他漏洞获得Kalay UID，这些漏洞可以被用来发动攻击。

为了防止任何潜在的攻击，建议将Kalay协议升级到3.1.10版，并启用DTL和AuthKey来保护传输中的数据，并在客户端连接期间添加额外的身份验证层。

这是ThroughTek的P2P SDK中第二次出现类似漏洞。在2021年6月，CISA发布了一个严重缺陷的警告警报（CVE-2021-329 34），它可以通过不正当的手段被利用来访问摄像机音频和视频馈送。