CISA heeft een nieuw ICS-advies uitgebracht over een kwetsbaarheid die is gevonden in een veelgebruikte ThroughTek-tool die aanvallers toegang geeft tot audio- en videofeeds en andere gevoelige informatie.
Naast het potentieel voor gegevens- en videolekkage, gaf het bedrijf toe dat aanvallers door de kwetsbaarheid niet alleen een apparaat kunnen vervalsen, maar ook het certificaat van een apparaat kunnen kapen. CISA gaf de kwetsbaarheid een score van 9,1 op 10 op de ernstschaal van de CVSS-kwetsbaarheid.
ThroughTek-softwarecomponenten worden op grote schaal gebruikt door leveranciers van beveiligingscamera's en slimme apparaten. Hun tools zijn opgenomen in miljoenen aangesloten apparaten, variërend van IP-camera's tot baby- en huisdierbewakingscamera's, evenals robot- en batterijapparaten. Het is ook een integraal onderdeel van de toeleveringsketen voor meerdere fabrikanten van originele apparatuur van beveiligingscamera's en IoT-apparaten van consumentenkwaliteit.
Beveiligingsbedrijf Nozomi Networks Labs ontdekte de kwetsbaarheid in de P2P SDK van ThroughTek en stuurde een melding hierover naar ThroughTek. De kennisgeving bracht CISA ertoe om een eigen verklaring vrij te geven waarin stond dat de kwetsbaarheid op afstand misbruikt kon worden en niet complex was om aan te vallen. Met de P2P-functionaliteit kunnen gebruikers via internet naar audio- en videostreams kijken.
De kwetsbaarheid is aanwezig in versies 3.1.5 en eerdere versies, SDK-versies met nossl-tag, apparaatfirmware die geen AuthKey gebruikt voor IOTC-verbinding, apparaatfirmware die de AVAPI-module gebruikt zonder het DTLS-mechanisme in te schakelen, en apparaatfirmware die P2PTunnel of RDT-module gebruikt.< /p>
“ThroughTek P2P-producten beschermen de gegevens die worden overgedragen tussen het lokale apparaat en de ThroughTek-servers niet voldoende. Hierdoor kan een aanvaller toegang krijgen tot gevoelige informatie, zoals camerafeeds”, aldus CISA in de release.
In een verklaring zei ThroughTek dat ze “ontdekt” waren dat sommige van hun klanten de SDK van het bedrijf “onjuist” implementeerden of hun SDK-versie-updates hadden “verwaarloosd”. Ze merkten op dat de kwetsbaarheid werd aangepakt in SDK-versie 3.3 en hoger in 2020, maar nog steeds een probleem vormde voor alles tot en met versie 3.1.5.
ThroughTek zei dat alle fabrikanten van originele apparatuur die SDK 3.1.10 en hierboven zouden Authkey en DTLS moeten inschakelen. Als de SDK lager is dan 3.1.10, moet de bibliotheek worden geüpgraded naar 3.3.1.0 of 3.4.2.0 en moet de Authkey/DTLS worden ingeschakeld.
CISA voegde eraan toe dat gebruikers in het algemeen hun risico's moeten minimaliseren door de netwerkblootstelling voor alle controlesysteemapparaten te verminderen en ervoor te zorgen dat geen van hen toegankelijk is via internet.
IT-beheerders moeten volgens CISA controlesysteemnetwerken en externe apparaten achter firewalls lokaliseren en isoleren van het bedrijfsnetwerk.
P2P-componentfouten worden al lang genoemd als een van de grootste risico's voor het gebruik van IoT-apparaten. In 2019 zorgde een kwetsbaarheid met iLnkP2P ervoor dat meer dan twee miljoen IoT-apparaten gevaar liepen te worden gecompromitteerd.
IoT-apparaten kunnen binnen enkele minuten worden gehackt, waarschuwen onderzoekers
Beveiligingsbedrijf ForeScout heeft gewaarschuwd dat hackers dankzij bepaalde typen gegevens kunnen stelen of fysieke schade kunnen veroorzaken van inherent onveilige verbonden apparaten.
Lees meer
Verwante onderwerpen:
IT-prioriteiten Beveiliging TV-gegevensbeheer CXO-datacenters 