【威胁研究】Mandiant 披露了影响数百万物联网设备的关键漏洞

2021 年 8 月 17 日 | 作者：杰克·瓦莱塔、埃里克·巴兹杜卡斯、狄龙·弗兰克

今天，Mandiant 与网络安全和基础设施安全局(“CISA”) 合作披露了一个严重的风险漏洞，该漏洞影响了数百万使用ThroughTek“Kalay”网络的物联网设备。该漏洞由 Mandiant 红队的研究人员于 2020 年末发现，可使攻击者远程入侵受害物联网设备，从而能够收听实时音频、观看实时视频数据并破坏设备凭据以进行基于暴露的进一步攻击。设备功能。这些进一步的攻击可能包括允许攻击者远程控制受影响设备的操作。

在撰写这篇博文时，ThroughTek 宣称其平台上有超过 8300 万台活跃设备和超过 11 亿的月连接。ThroughTek 的客户包括物联网摄像头制造商、智能婴儿监视器和数字视频录像机 (“DVR”) 产品。与Nozomi Networks研究人员于 2021 年 5 月（也是与 CISA 合作）发布的漏洞不同，这个最新漏洞允许攻击者与设备进行远程通信。因此，进一步的攻击可能包括允许攻击者远程控制受影响设备并可能导致远程代码执行的操作。

Kalay 协议作为软件开发工具包（“SDK”）实现，该工具包内置于客户端软件（例如移动或桌面应用程序）和联网的物联网设备（例如智能相机）中。由于原始设备制造商（“OEM”）和经销商在设备到达消费者之前如何集成 Kalay 协议，Mandiant 无法确定受发现的漏洞影响的产品和公司的完整列表。

此漏洞的 CVSS3.1 基本得分为 9.6，并被跟踪为CVE-2021-28372和FEYE-2021-0020。这篇博文在高层次上讨论了 Kalay 网络和 CVE-2021-28372。它还包括来自 ThroughTek 和 Mandiant 的建议以及缓解选项。

Mandiant 感谢 CISA 和 ThroughTek 在发布此公告时的协调和支持。

常问问题

哪些设备受到影响，（可能）有多少设备受到影响？

本文中描述的漏洞影响 Kalay 平台的一个核心组件。Mandiant 无法创建受影响设备的完整列表；然而，在撰写本文时，ThroughTek 的网站报告称 Kalay 平台上有超过 8300 万台活动设备。

问题如何解决？

Mandiant 与 ThroughTek 和 CISA 合作披露了此漏洞，并强烈建议使用 Kalay 平台的公司遵循 ThroughTek 和 Mandiant 提供的指南：

• 如果实现的 SDK 版本低于 3.1.10，请将库升级到版本 3.3.1.0 或版本 3.4.2.0 并启用 Kalay 平台提供的 Authkey 和数据报传输层安全 (“DTLS”) 功能。

• 如果实现的 SDK 是 3.1.10 及以上版本，请启用 Authkey 和 DTLS。

• 查看 API 或其他返回 Kalay 唯一标识符（“UID”）的服务的安全控制。

攻击者将如何利用这些漏洞？

攻击者需要全面了解 Kalay 协议以及生成和发送消息的能力。攻击者还需要通过社交工程或返回 Kalay UID 的 API 或服务中的其他漏洞获取 Kalay UID。从那里，攻击者将能够远程破坏与获得的 UID 对应的受影响设备。

我如何知道我拥有的设备是否受到影响？如果我拥有受影响的设备，我该如何保护自己？

Mandiant 无法使用 Kalay 平台创建完整的设备列表，但强烈鼓励物联网设备用户保持设备软件和应用程序最新，并为与这些设备关联的任何帐户使用复杂、唯一的密码。

设备所有者应避免从不受信任的网络（例如公共无线网络）连接到受影响的设备。

谁发现了这个漏洞？

杰克·瓦莱塔、埃里克·巴兹杜卡斯和狄龙·弗兰克。

CVE-2021-28372：设备模拟

Mandiant 研究人员使用两种不同的方法分析了ThroughTek 的Kalay 协议。首先，研究人员有选择地从 Google Play Store 和 Apple App Store 下载并反汇编了包含 ThroughTek 库的应用程序。这些库通常不包含调试符号，这要求团队还使用Frida、gdb和Wireshark等工具执行动态分析。

此外，Mandiant 购买了各种支持 Kalay 的设备。该团队执行本地和基于硬件的攻击以获取外壳访问权限、恢复固件映像并执行额外的动态测试。这些技术包括识别 UART/JTAG 接口、执行芯片脱落攻击以及利用设备上存在的其他调试功能。

在几个月的时间里，研究人员开发了一个功能齐全的 ThroughTek Kalay 协议，使团队能够在网络上执行关键操作，包括设备发现、设备注册、远程客户端连接、身份验证，最重要的是，处理音频和视频（“AV”）数据。与处理 AV 数据同样重要的是，Kalay 协议还实现了远程过程调用(“RPC”) 功能。这因设备而异，但通常用于设备遥测、固件更新和设备控制。

Mandiant 研究人员编写了用于创建和操作 Kalay 请求和响应的灵活接口，专注于识别 Kalay 协议中的逻辑和流漏洞。本文中讨论的漏洞会影响启用 Kalay 的设备访问和加入 Kalay 网络的方式。研究人员确定，设备注册过程只需要设备的 20 字节唯一分配标识符（此处称为“UID”）即可访问网络。在 Mandiant 的测试中，该 UID 通常从营销和销售设备模型的公司托管的 Web API 提供给支持 Kalay 的客户端（例如移动应用程序）。Mandiant 调查了暴力破解 ThroughTek UID 的可行性，发现由于必要的时间和资源，它不可行。

图 1 展示了 Kalay 网络上典型的设备注册和客户端连接过程。示例场景是用户从远程网络（例如咖啡店或移动电话网络）使用位于其家庭网络上的启用 Kalay 的相机远程访问移动应用程序上的相机源。

图1：正常的设备注册和连接过程

如果攻击者获得受害 Kalay 设备的 UID，他们可以在网络上恶意注册具有相同 UID 的设备，并导致 Kalay 服务器覆盖现有的 Kalay 设备。一旦攻击者恶意注册了 UID，任何试图访问受害者 UID 的客户端连接都将被定向到攻击者。然后攻击者可以继续连接过程并获取访问设备所需的身份验证材料（用户名和密码）。图 2 显示了当受害设备和具有相同 UID 的恶意设备同时存在于网络上时的客户端连接尝试。在这个例子中，恶意注册会覆盖网络上现有的注册，导致客户端连接被错误地路由到恶意设备。

图 2：攻击者利用设备模拟漏洞获取凭据

使用泄露的凭据，攻击者可以使用 Kalay 网络远程连接到原始设备、访问 AV 数据并执行 RPC 调用。设备实现的 RPC 接口中的漏洞可能导致完全远程和完整的设备危害。Mandiant 观察到，处理 Kalay 数据的 IoT 设备上的二进制文件通常以特权用户 root 身份运行，并且缺乏常见的二进制保护，例如地址空间布局随机化（“ASLR”）、平台独立执行（“PIE”）、堆栈金丝雀和 NX 位.

图 3 显示了利用捕获的 Kalay 用户名和密码通过滥用 Kalay RPC 接口中的漏洞进行进一步攻击的假设攻击。

图 3：攻击者使用捕获的凭据获取音频/视频数据

以下视频（图 4）演示了 CVE-2021-28372 的功能概念验证。请注意，Mandiant 不会发布任何公开的漏洞利用代码。

https://www.youtube.com/embed/PBiW-rg8-LE?enablejsapi=1&origin=https://www.fireeye.com

图 4：利用 CVE-2021-28372 窃取设备凭据的概念证明

补救和建议

Mandiant 和 ThroughTek 强烈建议使用 Kalay 协议的公司至少升级到 3.1.10 版本并启用以下 Kalay 功能：

DTLS，保护传输中的数据。

AuthKey，它在客户端连接期间添加了额外的身份验证层。

综合起来，这些功能降低了 CVE-2021-28372 的风险，并防止攻击者滥用 Kalay 协议。

应在处理 Kalay 数据的所有二进制文件上启用 ASLR、PIE、NX 和堆栈金丝雀等强化功能，并且应将 RPC 函数视为不受信任并进行适当的清理。

最后，Mandiant 强烈建议确保物联网设备制造商对用于获取 Kalay UID、用户名和密码的 Web API 应用严格的控制，以最大限度地减少攻击者获取远程访问设备所需的敏感材料的能力。如果未能保护返回有效 Kalay UID 的 Web API，攻击者可能会破坏大量设备。

结论

CVE-2021-28372 对最终用户的安全和隐私构成巨大风险，应适当缓解。未受保护的设备（例如 IoT 摄像头）可以通过访问 UID 远程受到攻击，并且可能会根据设备公开的功能进行进一步攻击。

Mandiant 在此感谢 ThroughTek 和 CISA 在发布此咨询和对全球物联网设备安全的承诺方面的合作和支持。