物联网设备软件供应链再爆严重漏洞，数百万设备面临被操控风险

Mandianat公司的研究人员当地时间周二表示，数百万智能家居设备使用的软件存在漏洞，此漏洞已被分配CVSS3.1基础分数为9.6，并被跟踪为CVE-2021-28372和FEYE-2021-0020。黑客可能会窃取婴儿监视器和网络摄像头等设备上的音频和视频数据。该漏洞存在于台湾物联网(IoT)供应商ThroughTek开发的一个软件协议中，该公司的客户包括中国电子巨头小米。ThroughTek说，相机供应商Wyze等其他品牌生产的8,300万台设备运行该公司的软件。Mandiant表示，要利用这一漏洞，攻击者需要对软件协议有“全面的了解”，并获取目标设备使用的唯一标识符。有了这种权限，黑客就可以远程与设备进行通信，可能会导致后续的严重后果。糟糕的是，这并不局限于某个制造商。它出现在一个软件开发工具包中，渗透到8300多万台设备中，每个月有超过10亿的互联网连接。国土安全部下属CISA计划发布一项公众建议，以提高人们对安全问题的认识。

 涉事厂家反应

所涉及的SDK是ThroughTek Kalay，它提供一种即插即用的系统，用于将智能设备与相应的移动应用程序连接起来。Kalay平台代理设备及其应用程序之间的连接，处理身份验证，并来回发送命令和数据。例如，Kalay提供了内置功能，可以协调安全摄像头和可以远程控制摄像头角度的应用程序。安全公司Mandiant的研究人员在2020年底发现了这一严重漏洞，他们于8月17日与国土安全部的网络安全和基础设施安全局(Cybersecurity and Infrastructure security Agency)一起公开披露了这一漏洞。

ThroughTek产品安全事件响应小组(Product Security Incident Response Team)的员工陈怡清(Yi-Ching Chen，音)说，该公司已经通知客户该漏洞，并建议他们如何将由此引发的安全风险降至最低。

“我们认真考虑网络安全问题，并在开发产品时采取了安全措施，”陈怡清在一封电子邮件中说。“我们有一个专门的软件测试团队，以确保我们的软件具有很高的质量和安全性，并定期进行渗透测试。”

ThroughTek没有回复《连线》杂志的置评请求。今年6月，该公司发布了Kalay 3.1.10版本的漏洞修复程序。

 网络安全公司反应

曼迪昂特(Mandiant)的董事杰克•瓦莱塔(Jake Valletta)表示，你把Kalay植入其中，它就是这些智能设备所需的粘合剂和功能。”“攻击者可以随意连接到设备，获取音频和视频，并使用远程API，然后做一些事情，如触发固件更新，改变相机的平移角度，或重启设备。而用户却不知道哪里出了问题。”

缺陷在于设备与其移动应用程序之间的注册机制。研究人员发现，这种最基本的连接取决于每个设备的“UID”，一个独特的Kalay标识符。攻击者一旦掌握了设备的UID(瓦莱塔称可以通过社会工程攻击获得)，或者通过搜索特定制造商的web漏洞——并且对Kalay协议有所了解的人可以重新注册UID，并在下一次有人试图合法访问目标设备时劫持连接。用户将会经历几秒钟的延迟，但是从他们的角度来看，一切都会正常进行。

不过，攻击者可以获取每个制造商为其设备设置的特殊凭证——通常是一个随机的、唯一的用户名和口令。有了UID加上这个登录凭证，攻击者就可以通过Kalay远程控制设备，而不需要任何其他条件。攻击者还可能利用对IP摄像头等嵌入式设备的完全控制作为起点，深入渗透目标的网络。

通过利用该漏洞，攻击者可以实时观看视频，可能会观看敏感的安全视频，或偷看婴儿床内部。他们可以通过关闭摄像头或其他设备来发起拒绝服务攻击。或者他们可以在目标设备上安装恶意固件。此外，由于攻击的工作原理是获取凭证，然后使用Kalay远程管理嵌入式设备，因此受害者无法通过清除或重置他们的设备来猎杀入侵者。黑客们可以简单地反复发动攻击。

研究人员没有公布Kalay协议分析的细节，也没有公布如何利用该漏洞的细节。他们说，他们还没有看到现实世界中利用漏洞的证据，他们的目标是提高人们对这个问题的认识，而不是给真正的攻击者一个路线图。Mandiant的研究人员建议制造商升级到这个版本或更高版本，并启用两种Kalay产品：加密通信协议DTLS和API认证机制AuthKey。

瓦莱塔说:“我认为隧道尽头有光明，但我不确定是否每个人都要修补。”“我们已经这样做了多年，一次又一次地看到许多模式和各种漏洞。物联网安全仍有很多方面需要迎头赶上。”

Mandiant建议用户升级他们的软件，并采取额外措施，以降低漏洞被利用的风险。具体为建议确保物联网设备制造商对用于获取Kalay uid、用户名和口令的web API实施严格控制，以减少攻击者获取远程访问设备所需的敏感信息的能力。无法保护返回有效Kalay uid的web API可能会让攻击者危及大量设备。

 物联网供应连安全路漫漫

物联网行业的安全问题由来已久，单个漏洞往往会影响多个供应商。“许多消费者相信，他们放在家里的设备在默认情况下是安全的，”曼迪昂特主动服务总监杰克·瓦莱塔(Jake Valletta)说。“然而，我们的研究一再表明，安全不是那些实施物联网设备和协议的优先事项。”

这是数字时代物联网设备漏洞爆发的最新例子。

2021年4月，智能电视和可穿戴设备等设备的软件中还发现了24个漏洞。

2021年06月15日，CISA发布预警，数以百万计的联网安全和家用摄像头包含一个信息泄露漏洞（CVE-2021-32934），其CVSS v3基本评分为9.1。该漏洞存在于ThroughTek的P2P SDK中。由于本地设备和ThroughTek 服务器之间明文传输数据，远程攻击者可以通过利用此漏洞窃取敏感信息。时隔2月，同样的厂商再现重磅漏洞。

2021年8月16日，固件安全公司IoT-Inspector爆出Realtek SDK的十多个漏洞——从命令注入到影响UPnP、HTTP(管理web界面)和Realtek定制网络服务的内存损坏。通过利用这些漏洞，远程未经身份验证的攻击者可以完全破坏目标设备，并以最高权限执行任意代码。最终研究人员确定了至少65个不同的供应商受这批漏洞影响，近200个型号的设备在影响之列。

这一系列物联网软件供应链的重大漏洞披露事件，再次凸显供应链安全风险日趋严峻的态势。

在物联网设备上运行的许多第三方软件一样，ThroughTek协议被集成到设备制造商和经销商中，因此很难辨别有多少设备可能受到该缺陷的影响。

参考资源：

1、https://www.cyberscoop.com/iot-vulnerability-through-tek-baby-monitor/

2、https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01

3、https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html

原文来源：网空闲话

“投稿联系方式：010-82992251   [email protected]”

本文始发于微信公众号（网络安全应急技术国家工程实验室）：物联网设备软件供应链再爆严重漏洞，数百万设备面临被操控风险