CISA har gitt ut en ny ICS-rådgivning om et sårbarhet som finnes i et mye brukt ThroughTek-verktøy som gir angripere tilgang til lyd- og videofeeder samt annen sensitiv informasjon.
På toppen av potensialet for data- og videolekkasje, innrømmet selskapet at sårbarheten gjør det mulig for angripere å ikke bare lure en enhet, men kapre enhetssertifikat. CISA ga sårbarheten en poengsum på 9,1 av 10 på alvorlighetsskalaen for CVSS.
ThroughTek-programvarekomponenter brukes i stor grad av sikkerhetskamera og leverandører av smarte enheter. Verktøyene deres er innlemmet i millioner av tilkoblede enheter, alt fra IP-kameraer til baby- og kjæledyrovervåkingskameraer, samt robot- og batterienheter. Det er også en integrert del av forsyningskjeden for flere produsenter av originalt utstyr av sikkerhetskameraer og IoT-enheter av forbrukerkvalitet.
Sikkerhetsselskap Nozomi Networks Labs oppdaget sårbarheten i ThroughTeks P2P SDK og sendte et varsel om det til ThroughTek. Innkallingen fikk CISA til å frigjøre sin egen uttalelse om at sårbarheten kunne utnyttes eksternt og ikke var kompleks å angripe. P2P-funksjonaliteten lar brukerne se på lyd- og videostrømmer via internett.
Sårbarheten er tilstede i versjoner 3.1.5 og tidligere, SDK-versjoner med nossl tag, firmware for enheten som ikke bruker AuthKey for IOTC-tilkobling, firmware for enheten ved hjelp av AVAPI-modulen uten å aktivere DTLS-mekanisme, og firmware for enheten ved bruk av P2PTunnel eller RDT-modul.
“ThroughTek P2P-produkter beskytter ikke tilstrekkelig data som overføres mellom den lokale enheten og ThroughTek-serverne. Dette kan gi en angriper tilgang til sensitiv informasjon, for eksempel kameramater,” sa CISA i utgivelsen.
I en uttalelse sa ThroughTek at de “oppdaget” at noen av kundene deres implementerte selskapets SDK “feil” eller hadde “ignorert” SDK-versjonsoppdateringene sine. De bemerket at sårbarheten ble adressert i SDK versjon 3.3 og fremover i 2020, men var fremdeles et problem for alt til og med versjon 3.1.5.
ThroughTek sa at alle originale utstyrsprodusenter som kjørte SDK 3.1.10 og ovenfor skal aktivere Authkey og DTLS. Hvis SDK er under 3.1.10, må biblioteket oppgraderes til 3.3.1.0 eller 3.4.2.0, og Authkey/DTLS må aktiveres.
CISA la til at brukere generelt bør minimere risikoen ved å redusere nettverkseksponeringen for alle kontrollsystemenheter og sikre at ingen er tilgjengelige fra internett.
IT-administratorer bør finne kontrollsystemnettverk og eksterne enheter bak brannmurer, og isolere dem fra forretningsnettverket, ifølge CISA.
P2P-komponentfeil har lenge blitt sitert som en av de største risikoene for bruken av IoT-enheter. I 2019 etterlot et sårbarhet med iLnkP2P mer enn to millioner IoT-enheter fare for kompromiss.
IoT-enheter kan hackes på få minutter, advarer forskere
Sikkerhetsselskap ForeScout har advart om at hackere kan stjele data eller forårsake fysisk skade, takket være visse typer av iboende usikre tilkoblede enheter.
Les mer
Relaterte emner:
IT-prioriteringer Sikkerhet TV Datastyring CXO datasentre 