Изследователите по сигурността бият тревога за критична уязвимост, засягаща десетки милиони устройства по целия свят, свързани чрез облачната платформа Kalay IoT на ThroughTek.
Проблемът със сигурността засяга продукти от различни производители, предлагащи решения за видеонаблюдение и наблюдение, както и IoT системи за домашна автоматизация, които използват мрежата Kalay за лесно свързване и комуникация със съответно приложение.
Отдалечен нападател може да използва грешката, за да получи достъп до аудио и видео потоци на живо или да поеме контрола върху уязвимото устройство.
Отвличане на връзки с устройства Изследователи от Red Team на Mandiant откриха уязвимостта в края на 2020г. и са работили с Американската агенция за киберсигурност и сигурност на инфраструктурата и ThroughTek за координиране на разкриването и създаване на възможности за смекчаване. Проследяван като CVE-2021-28372, проблемът е уязвимост за олицетворение на устройство, която е получила оценка за тежест 9,6 от 10. Тя засяга протокола Kalay, който е реализиран като комплект за разработка на софтуер (SDK), който е вграден в мобилни и настолни приложения . Jake Valletta от Mandiant, Erik Barzdukas и Dillon Franke разгледаха протокола Kalay на ThroughTek и установиха, че регистрацията на устройство в мрежата Kalay изисква само уникалния идентификатор на устройството (UID). Следвайки това, изследователите откриха, че клиент на Kalay, като мобилно приложение, обикновено получава UID от уеб API, хостван от доставчика на IoT устройството.
Нападател с UID на целевата система може да регистрира в мрежата Kalay устройство, което контролира, и да получава всички опити за свързване на клиента. Това ще муим позволи да получиат идентификационни данни за вход, които осигуряват отдалечен достъп до аудио-видео данните на устройството на жертвата.
Изследователите казват, че този вид достъп, комбиниран с уязвимости в интерфейса RPC (отдалечено извикване на процедура), реализиран от устройството, може да доведе до пълно компрометиране на устройството.
По време на изследването на тази уязвимост изследователите на Mandiant успяха да разработят функционална реализация на протокола Kalay, която им позволи да откриват устройства, да ги регистрират, да се свързват с отдалечени клиенти, да удостоверяват автентичността и да обработват аудио и видео данни. Те също така създадоха код за експлоатация с доказателство за концепция (PoC), който им позволи да се представят за устройство в мрежата Kalay.
Според последните данни от ThroughTek, нейната платформа Kalay има повече от 83 милиона активни устройства и управлява над 1 милиард връзки всеки месец.
Опции за смекчаване за разработчиците и собствениците
В препоръка за сигурност, публикувана на 20 юли за друга критична уязвимост в своя SDK (CVE-2021-32934) и актуализирана на 13 август, ThroughTek предоставя насоки, които клиентите могат да следват, за да смекчат рисковете, свързани с CVE-2021-28372: Ако използвате ThroughTek SDK v3.1.10 и по -нови версии, моля, разрешете AuthKey и DTLS (Защита на транспортния слой на дейтаграма), за да защитите транзитни данни; Ако използвате ThroughTek SDK по -старите версии преди v3.1.10, моля, надстройте библиотеката до v3.3.1.0 или v3.4.2.0 и активирайте AuthKey и DTLS. Mandiant също така препоръчва преразглеждане на контролите за сигурност, определени в API или други услуги, които могат да връщат UID на Kalay. Изследователите отбелязват, че нападателят, използващ уязвимостта на за олицетворение на устройството, трябва да е запознат с протокола Kalay и начина, по който съобщенията се генерират и доставят. Получаването на UID също е задача, която изисква известни усилия от нападателя (социално инженерство, използване на други уязвимости). Това, което собствениците на засегнати устройства могат да направят, за да смекчат риска, е да актуализират софтуера и приложенията на устройството си до последната версия и да определят сложни, уникални пароли за вход. Освен това те трябва да избягват свързването с IoT устройства от ненадеждна мрежа (например обществена WiFi). Тъй като платформата Kalay се използва от устройства от голям брой производители, е трудно да се създаде списък със засегнатите марки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.