8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

ThroughTek P2P SDK信息泄露缝隙（CVE-2021-32934）

颁布功夫 2021-06-16

0x00 缝隙概述

CVE ID	CVE-2021-32934	时间	2021-06-16
类型	信息泄露	等级	严沉
远程利用	是	影响领域
攻击复杂度	低	可用性	无
用户交互	无	所需权限	无
PoC/EXP	已公开	在野利用	否

0x01 缝隙详情

2021年06月15日，，，，，，，美国网络安全和基础设施安全局 (CISA)颁布预警，，，，，，，数以百万计的联网安全和家用摄像头蕴含一个信息泄露缝隙（CVE-2021-32934），，，，，，，其CVSS v3根基评分为9.1。。。。。。

该缝隙存在于ThroughTek的P2P SDK钟祝。。。。。由于本地设备和ThroughTek 服务器之间明文传输数据，，，，，，，远程攻击者能够通过利用此缝隙窃取敏感信息。。。。。。并且该组件已被多家安全摄像头的原始设备造作商 (OEM) 以及物联网设备造作商使用，，，，，，，例如婴儿和宠物监控摄像头，，，，，，，以及机械人和电池设备。。。。。。

未授权查看这些设备的信息将导致诸多问题：对于关键基础设施运营商和企业而言，，，，，，，音视频信息会泄录感的业务数据、出产或竞争机密、可用于物理攻击的平面图信息以及员工信息等；；；；；；；而对于家庭用户来说，，，，，，，将泄露其隐衷。。。。。。

影响领域：

3.1.10以下版本

带有nossl标签的SDK版本

不使用AuthKey进行IOTC衔接的设备固件

使用AVAPI�？？？？？？槎黄粲肈TLS机造的设备固件

使用P2PTunnel或RDT�？？？？？？榈纳璞腹碳�

0x02 措置建议

目前此缝隙已经建复，，，，，，，ThroughTek建议有关造作商执行以下缓解措施：

若是 SDK版本 >= 3.1.10 ，，，，，，，请启用 authkey 和 DTLS。。。。。。

若是 SDK版本< 3.1.10，，，，，，，请将库升级到 v3.3.1.0 或 v3.4.2.0 并启用 authkey/DTLS。。。。。。

官方链接：

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

通用安全建议

尽量削减所有节造系统设备或系统的网络露出情况，，，，，，，并确保它们不能从互联网接见。。。。。。

将节造系统网络和远程设备置于防火墙之后，，，，，，，并将其与贸易网络隔离。。。。。。

当必要远程接见时使用安全的步骤，，，，，，，如虚构专用网络（VPN），，，，，，，并确保VPN是最新版本。。。。。。

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01

https://threatpost.com/millions-connected-cameras-eavesdropping/166950/

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

0x04 功夫线

2021-06-15 CISA颁布安全布告

2021-06-16 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】