嚴重的ThroughTek SDK漏洞可讓駭客監視數百萬個物聯網裝置

遠端攻擊者可以利用關鍵漏洞竊聽實時音訊和影片或控制。漏洞存在於ThrowTek的 Kalay網路中，該網路用於8300萬臺裝置。

安全研究人員發現了一個影響數以千萬計的物聯網 (IoT) 裝置的嚴重漏洞——該漏洞將實時影片和音訊流暴露給竊聽威脅者，並使攻擊者能夠控制裝置，包括安全網路攝像頭和連線的嬰兒監視器。

該漏洞被追蹤為CVE-2021-28372和FEYE-2021-0020，並被分配了關鍵的CVSS3.1基礎評分9.6分，該漏洞是在透過ThroughTek的Kalay IoT雲平臺連線的裝置中發現的。

Mandiant與網路安全和基礎設施安全域性(CISA)和ThroughTek合作，於週二發出了警報。

Mandiant的帖子稱:“CVE-2021-28372對終端使用者的安全和隱私構成了巨大的風險，應該適當予以緩解。”“物聯網攝像頭等未受保護的裝置可能會透過獲取UID遠端受到攻擊，進一步的攻擊可能取決於裝置暴露的功能。”

越來越多的漏洞問題嚴重影響社會發展及人們生活，例如，今年2月，一個影響多個嬰兒監視器的漏洞被發現，暴露了數十萬個正在執行的裝置，可能允許某人進入並檢視攝像頭的影片流。

Mandiant解釋說，該漏洞將使對手“遠端攻擊受害者的物聯網裝置，從而獲得收聽實時音訊、觀看實時影片資料的能力，並根據暴露的裝置功能危及裝置憑據，以進行進一步的攻擊。”這些進一步的攻擊可能包括允許對手遠端控制受影響裝置的行動。”

在週二的一篇文章中，研究人員Jake Valletta、Erik Barzdukas和Dillon Franke，發現了這個漏洞，考慮到Kalay協議在裝置到達消費者之前是被製造商和經銷商整合的，不可能彙編一份受影響的公司和產品的全面清單。因此強烈建議物聯網裝置使用者“保持裝置軟體和應用程式的更新，並對與這些裝置相關的任何賬戶使用複雜、獨特的密碼。”

Mandiant還建議裝置使用者避免透過公共Wi-Fi等不受信任的網路連線受影響的裝置。

Kalay：一個新的不吸引人的握手

根據ThroughTek的說法，“Kalay”是一個土著達烏語，意思是“握手”，“象徵著一個相互聯絡的世界中的普遍聯絡”。

ThroughTek將握手(Kalay 協議)作為軟體開發工具包 (SDK) 實施。Kalay SDK 提供即插即用的網路，可輕鬆連線智慧裝置和相應的移動應用程式。

研究人員提供了工作原理示例：下圖顯示了Kalay網路上的典型裝置註冊過程和客戶端連線。在此示例中，使用者透過遠端網路在移動應用程式上遠端訪問家庭網路的kalay支援的攝像頭:例如，使用者在咖啡店或行動電話網路上檢視家庭攝像頭的動態。

無法確認影響多少裝置

研究人員指出了ThroughTek的廣告，該廣告聲稱支援8300多萬臺活躍裝置，平臺上每月的連線超過11億次。ThroughTek還支援250個單片系統(soc):包含小型消費電子裝置(如智慧手機或可穿戴電腦)所需的所有必要電子電路和部件的微晶片。

Mandiant表示，受影響的Kalay產品包括物聯網攝像頭製造商、智慧嬰兒監視器和數字錄影機(DVR)產品。

研究人員指出，這個ThroughTek漏洞比5月份披露的關鍵Nozomi Networks 漏洞更糟糕：這個漏洞已經非常嚴重，它使得數百萬個連線的攝像頭為攻擊者提供跳板。除了竊聽外，Kalay的這個最新漏洞意味著，這些裝置可能會被那些沒有必要擺弄別人的嬰兒監視器、網路攝像頭或其他物聯網裝置的人遠端控制。

研究人員解釋說：“這個最新的漏洞允許攻擊者與裝置進行遠端通訊。” “因此，進一步的攻擊可能包括允許攻擊者遠端控制受影響裝置並可能導致遠端程式碼執行。”

Bug 是如何”工作”的

Mandiant認為問題出在裝置註冊過程中，這隻需要裝置20位元組的唯一分配識別符號——他們稱之為UID——就可以訪問網路。Mandiant的測試表明，UID通常是由支援kalay的客戶端提供的，比如移動應用程式，它來自營銷和銷售特定裝置的公司託管的web API。

為了利用該漏洞，攻擊者需要對Kalay協議有深入的瞭解，並具有生成和傳送訊息的能力。他們還必須得到Kalay uid，他們可以透過“社會工程或api或服務的其他漏洞，返回Kalay uid”來擺脫這些uid，研究人員說。作為一種替代方案，Mandiant還研究了野蠻強制ThroughTek uid，但研究人員表示，這耗費了太多的時間和資源。

在獲得uid之後，攻擊者可以接管相關的、受影響的裝置。有了一些Kalay協議的知識，他們就能夠重新註冊UID，覆蓋Kalay伺服器上現有的Kalay裝置。然後，每當合法的所有者試圖訪問裝置時，UID將被定向到攻擊者，從而導致劫持連線。

之後，攻擊者可以繼續連線過程，以竊取裝置所有者的使用者名稱和密碼。下圖展示了網路中存在UID相同的受害裝置和惡意裝置時的情況:惡意註冊覆蓋現有註冊，強制將合法裝置的連線重路由到攻擊者的裝置。

在那之後，威脅行為者可以遠端連線到受害裝置，訪問音訊/影片資料並執行遠端過程呼叫 (RPC)。研究人員描述說，由於裝置實現的RPC介面中存在漏洞，這可能導致“完全遠端和完整的裝置入侵”。他們列舉的原因是:“Mandiant觀察到，處理Kalay資料的物聯網裝置上的二進位制檔案通常以特權使用者根執行，缺乏常見的二進位制保護，如地址空間佈局隨機化(ASLR)、平臺.獨立執行(PIE)、堆疊canary和NX位。”

下圖顯示了一個假設的攻擊，使用捕獲的Kalay憑據，透過濫用Kalay RPC介面中的漏洞發動另一場攻擊:

如何解決這個問題

Mandiant“強烈建議”使用Kalay平臺的公司遵循來自ThroughTek和Mandiant的以下指導：

如果實現的SDK低於3.1.10版本，請升級到3.3.1.0或3.4.2.0版本，並啟用Kalay平臺提供的Authkey和DTLS (Datagram Transport Layer Security)特性。

如果實現的SDK是3.1.10及以上版本，啟用Authkey和DTLS。

檢查在返回Kalay唯一識別符號(uid)的api或其他服務上的安全控制。

在處理Kalay資料的所有二進位制檔案上都應該啟用強化特性，如ASLR、PIE、NX和堆疊canary, RPC函式應該被視為不可信的，並進行適當的處理。

物聯網裝置製造商應嚴格控制用於獲取Kalay uid、使用者名稱和密碼的web api，以減少攻擊者獲取遠端訪問裝置所需的敏感材料的能力。無法保護返回有效Kalay uid的web api可能會讓攻擊者危及大量裝置。

網路安全建設需從多面解決

物聯網安全漏洞已成為嚴重的網路安全威脅，而且不同於對軟體的影響，一旦物聯網受安全漏洞影響遭到網路攻擊，將會切實影響社會及生活運轉。對於諸如攝像頭等漏洞，一旦被駭客入侵將會造成大量資料洩露或丟失。而安全漏洞為駭客提供了良好的入侵途徑。因此加強網路安全更要重視軟體安全，建議透過 靜態程式碼檢測加強軟體自身安全的提升，是現有網路防護手段的重要補充!