CISA har släppt en ny ICS-rådgivning om en sårbarhet som finns i ett allmänt använt ThroughTek-verktyg som ger angripare tillgång till ljud- och videoflöden samt annan känslig information.
Utöver potentialen för data- och videoläckage medgav företaget att sårbarheten gör det möjligt för angripare att inte bara förfalska en enhet utan kapa en enhetscertifikat. CISA gav sårbarheten poäng 9,1 av 10 på CVSS sårbarhetsskalan.
Programvarukomponenterna i ThroughTek används i stor utsträckning av säkerhetskameror och leverantörer av smarta enheter. Deras verktyg är integrerade i miljontals anslutna enheter, allt från IP-kameror till baby- och husdjursövervakningskameror samt robot- och batterienheter. Det är också en integrerad del av försörjningskedjan för flera tillverkare av originalutrustning av säkerhetskameror och IoT-enheter för konsumentkvalitet.
Säkerhetsföretaget Nozomi Networks Labs upptäckte sårbarheten i ThroughTeks P2P SDK och skickade ett meddelande om det till ThroughTek. Meddelandet uppmanade CISA att släppa sitt eget uttalande som säger att sårbarheten var fjärranvändbar och inte var komplex att attackera. P2P-funktionaliteten gör det möjligt för användare att titta på ljud- och videoströmmar via internet.
Sårbarheten är närvarande i version 3.1.5 och tidigare, SDK-versioner med nossl-tagg, enhets firmware som inte använder AuthKey för IOTC-anslutning, enhets firmware med AVAPI-modulen utan att aktivera DTLS-mekanism och enhets firmware med P2PTunnel eller RDT-modul./p>
“ThroughTek P2P-produkter skyddar inte tillräckligt data som överförs mellan den lokala enheten och ThroughTek-servrarna. Detta kan göra det möjligt för en angripare att komma åt känslig information, till exempel kameraflöden,” sa CISA i meddelandet.
I ett uttalande sa ThroughTek att de “upptäckte” att vissa av deras kunder implementerade företagets SDK “felaktigt” eller hade “bortsett från” sina SDK-uppdateringar. De noterade att sårbarheten behandlades i SDK version 3.3 och framåt 2020 men fortfarande var ett problem för allt fram till och med version 3.1.5.
ThroughTek sa att alla originalutrustningstillverkare som kör SDK 3.1.10 och ovan bör aktivera Authkey och DTLS. Om SDK är under 3.1.10 måste biblioteket uppgraderas till 3.3.1.0 eller 3.4.2.0 och Authkey/DTLS måste aktiveras.
CISA tillade att användare i allmänhet bör minimera sina risker genom att minska nätverksexponeringen för alla styrsystemenheter och se till att inga är tillgängliga från internet.
IT-administratörer bör lokalisera styrsystemsnätverk och fjärrenheter bakom brandväggar och isolera dem från företagsnätverket, enligt CISA.
P2P-komponentfel har länge citerats som en av de allvarligaste riskerna för användningen av IoT-enheter. År 2019 lämnade en sårbarhet med iLnkP2P mer än två miljoner IoT-enheter risk för kompromiss.
IoT-enheter kan hackas på några minuter, varnar forskare
Säkerhetsföretaget ForeScout har varnat för att hackare kan stjäla data eller orsaka fysisk skada tack vare vissa typer av inneboende osäkra anslutna enheter.
Läs mer
Relaterade ämnen:
IT-prioriteringar Säkerhet TV Datahantering CXO-datacenter 