CISA har frigivet en ny ICS-rådgivning om en sårbarhed, der findes i et udbredt ThroughTek-værktøj, der giver angribere adgang til lyd- og videofeeds samt andre følsomme oplysninger.
Ud over potentialet for data- og videolækage indrømmede virksomheden, at sårbarheden gør det muligt for angribere ikke kun at falske en enhed, men kapre en enheds certifikat. CISA gav sårbarheden en score på 9,1 ud af 10 på CVSS-sværhedsgraden.
ThroughTek-softwarekomponenter anvendes bredt af sikkerhedskameraer og leverandører af smartenheder. Deres værktøjer er indarbejdet i millioner af tilsluttede enheder lige fra IP-kameraer til baby- og kæledyrsovervågningskameraer samt robot- og batterienheder. Det er også en integreret del af forsyningskæden til flere producenter af originalt udstyr af sikkerhedskameraer og IoT-enheder af forbrugerkvalitet.
Sikkerhedsfirmaet Nozomi Networks Labs opdagede sårbarheden i ThroughTeks P2P SDK og sendte en meddelelse om det til ThroughTek. Meddelelsen fik CISA til at frigive sin egen erklæring om, at sårbarheden kunne udnyttes eksternt og ikke var kompleks at angribe. P2P-funktionaliteten giver brugerne mulighed for at se lyd- og videostreams via internettet.
Sårbarheden er til stede i version 3.1.5 og tidligere, SDK-versioner med nossl-tag, firmware til enheden, der ikke bruger AuthKey til IOTC-forbindelse, enhedsfirmware ved hjælp af AVAPI-modulet uden aktivering af DTLS-mekanisme og enhedsfirmware ved hjælp af P2PTunnel eller RDT-modul.
“ThroughTek P2P-produkter beskytter ikke tilstrækkelig data, der overføres mellem den lokale enhed og ThroughTek-serverne. Dette kan give en hacker adgang til følsomme oplysninger, såsom kamerafeeds,” sagde CISA i udgivelsen.
I en erklæring sagde ThroughTek, at de “opdagede”, at nogle af deres kunder implementerede virksomhedens SDK “forkert” eller havde “ignoreret” deres SDK-versionopdateringer. De bemærkede, at sårbarheden blev behandlet i SDK version 3.3 og fremover i 2020, men stadig var et problem for noget til og med version 3.1.5.
ThroughTek sagde, at alle originale udstyrsproducenter, der kørte SDK 3.1.10 og ovenfor skal aktivere Authkey og DTLS. Hvis SDK er under 3.1.10, skal biblioteket opgraderes til 3.3.1.0 eller 3.4.2.0, og Authkey/DTLS skal aktiveres.
CISA tilføjede, at brugere generelt burde minimere deres risici ved at reducere netværkseksponeringen for alle kontrolsystemenheder og sikre, at ingen er tilgængelige fra internettet.
IT-administratorer skal finde kontrolsystemnetværk og eksterne enheder bag firewalls og isolere dem fra virksomhedsnetværket ifølge CISA.
P2P-komponentfejl er længe blevet nævnt som en af de største risici for brugen af IoT-enheder. I 2019 efterlod en sårbarhed med iLnkP2P mere end to millioner IoT-enheder i fare for kompromis.
IoT-enheder kan hackes på få minutter, advarer forskere
Sikkerhedsfirmaet ForeScout har advaret om, at hackere kan stjæle data eller forårsage fysisk skade takket være visse typer af iboende usikre tilsluttede enheder.
Læs mere
Relaterede emner:
IT-prioriteter Sikkerhed TV Datastyring CXO-datacentre 