高危漏洞可导致数百万台摄像头被监听

安全研究人员发现了另一个影响数百万设备的关键物联网设备的供应链漏洞，攻击者能”监控“监控摄像头。

在向网络安全和基础设施安全局 (CISA) 报告后，网络安全公司Mandiant于昨天披露了CVE-2021-28372漏洞。

它影响使用来自台湾公司ThroughTek的“Kalay”平台的设备，该公司为原始设备制造商提供用于 IP 摄像机、婴儿和宠物监控摄像机、数字视频录像机 (DVR) 等的软件。

尽管 Mandiant 无法确切确定有多少设备受到影响，但该公司警告说，据ThroughTek 称，目前有超过 8300 万台设备在使用 Kalay。

该消息是在Nozomi Networks 发现ThroughTek P2P SDK 中的一个严重错误几个月后发布的。然而，Mandiant 声称，与该缺陷不同的是，该缺陷允许威胁行为者与设备进行远程通信，为远程代码执行攻击打开了大门。

也就是说，漏洞利用远非易事。

“攻击者需要全面了解 Kalay 协议以及生成和发送消息的能力。攻击者还需要通过社会工程或返回 Kalay UID 的 API 或服务中的其他漏洞来获取 Kalay UID，”安全公司解释说。

“从那里，攻击者将能够远程破坏与获得的 UID 相对应的受影响设备。”

Mandiant 与 ThroughTek 在漏洞披露方面密切合作，他们和CISA 都建议任何使用 Kalay 的组织立即升级到新版本 3.1.10。还敦促受影响的公司启用 DTLS（保护传输中的数据）和 AuthKey（在客户端连接期间增加额外的身份验证层）。

Armis 的欧洲网络风险官 Andy Norton警告说，物联网设备正日益成为企业安全链中最薄弱的环节。

“尽管物联网设备给组织带来了非常相似的风险，但与 IT 设备相比，目前缺乏缓解控制措施，”他补充道。

“了解物联网设备的用途并监控其行为方式的变化……是当前物联网设备风险管理的最先进方法。”