目录导航
CISA(美国网络安全与基础设施安全局)发布了一个新的 ICS公告,内容涉及广泛使用的 ThroughTek 工具中发现的漏洞,攻击者可以通过该漏洞访问音频和视频源以及其他敏感信息。
除了数据和视频泄漏的可能性之外,该公司承认该漏洞不仅允许攻击者欺骗设备,还可以劫持设备的证书。
CISA在 CVSS 漏洞严重性等级上给该漏洞打了 9.1 分(满分 10分)。
ThroughTek 软件组件被安全摄像头和智能设备供应商广泛使用。他们的工具被整合到数以百万计的连接设备中,从 IP 摄像机到婴儿和宠物监控摄像机,以及机器人和电池设备。它也是多个消费级安全摄像头和物联网设备原始设备制造商供应链的组成部分。
安全公司Nozomi Networks Labs发现了ThroughTek 的P2P SDK 中的漏洞,并向ThroughTek 发送了有关该漏洞的通知。该通知促使 CISA 发布自己的声明,称该漏洞可远程利用,攻击并不复杂。P2P 功能允许用户通过互联网查看音频和视频流。
该漏洞存在于3.1.5及更早版本、带有nossl标签的SDK版本、不使用AuthKey进行IOTC连接的设备固件、使用AVAPI模块而不启用DTLS机制的设备固件以及使用P2PTunnel或RDT模块的设备固件。
“ThroughTek P2P 产品不能充分保护在本地设备和 ThroughTek 服务器之间传输的数据。这可能允许攻击者访问敏感信息,例如摄像头馈送,”CISA 在新闻稿中说。
在一份声明中,ThroughTek 表示他们“发现”他们的一些客户“错误地”实施了该公司的 SDK,或者“忽视”了他们的 SDK 版本更新。他们指出,该漏洞已在 SDK 3.3 版及 2020 年以后的版本中得到解决,但对于 3.1.5 版(包括 3.1.5 版)而言仍然是一个问题。
ThroughTek 表示,任何运行 SDK 3.1.10 及以上版本的原始设备制造商都应该启用 Authkey 和 DTLS。如果SDK低于3.1.10,库需要升级到3.3.1.0或3.4.2.0,并且需要开启Authkey/DTLS。
CISA 补充说,一般来说,用户应该通过减少所有控制系统设备的网络暴露并确保无法从互联网访问任何设备来最大程度地降低风险。
据 CISA 称,IT 管理员应将控制系统网络和远程设备置于防火墙后面,并将它们与业务网络隔离。
P2P 组件缺陷长期以来一直被认为是物联网设备使用的最严重风险之一。2019 年,iLnkP2P 的一个漏洞使超过 200万物联网设备面临被入侵的风险。
CISA警告详情
1.执行摘要
- CVSS v3 9.1
- 注意:可远程利用/低攻击复杂性
- 供应商: ThroughTek
- 设备: P2P SDK
- 漏洞:敏感信息的明文传输
2. 风险评估
ThroughTek 为多家 IP 摄像机原始设备制造商提供 P2P 连接作为其云平台的一部分。成功利用此漏洞可能允许未经授权访问敏感信息,例如相机音频/视频源。
3. 技术细节
3.1 受影响的产品
以下版本的 P2P 软件开发工具包 (SDK) 受到影响:
- 3.1.5 及更早版本
- 带有 nossl 标签的 SDK 版本
- 不使用 AuthKey 进行 IOTC 连接的设备固件
- 使用 AVAPI 模块而不启用 DTLS 机制的设备固件
- 使用 P2PTunnel 或 RDT 模块的设备固件
3.2 漏洞概述
3.2.1 敏感信息的明文传输 CWE-319
受影响的ThroughTek P2P 产品无法充分保护本地设备和ThroughTek 服务器之间传输的数据。这可能允许攻击者访问敏感信息,例如相机提要。
CVE-2021-32934已分配给此漏洞。计算得出的 CVSS v3 基础分数为 9.1;CVSS 向量字符串是 ( AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N )。
3.3 背景
- 关键基础设施部门:通信
- 部署的国家/地区:全球
- 公司总部所在地:台湾
3.4 研究员
Nozomi Networks 向 CISA 报告了此漏洞。
4. 缓解措施
ThroughTek 建议原始设备制造商实施以下缓解措施:
- 如果 SDK 是 3.1.10 及以上版本,请启用 authkey 和 DTLS。
- 如果 SDK 是 3.1.10 之前的任何版本,请将库升级到 v3.3.1.0 或 v3.4.2.0 并启用 authkey/DTLS。
更多信息可以在ThroughTek 的咨询中找到。
CISA 建议用户采取防御措施,将利用此漏洞的风险降至最低。具体来说,用户应该:
- 尽量减少所有控制系统设备和/或系统的网络暴露,并确保它们不能从 Internet 访问。
- 定位防火墙后面的控制系统网络和远程设备,并将它们与业务网络隔离。
- 当需要远程访问时,请使用安全方法,例如虚拟专用网络 (VPN),认识到 VPN 可能存在漏洞并应更新到可用的最新版本。还要认识到 VPN 的安全性取决于其连接的设备。
CISA 提醒组织在部署防御措施之前进行适当的影响分析和风险评估。
CISA 还在us-cert.cisa.gov上的 ICS 网页上提供了控制系统安全推荐做法的 部分。一些推荐的实践可供阅读和下载,包括使用深度防御策略改进工业控制系统网络安全。
在 us-cert.cisa.gov上的ICS 网页上,技术信息文件ICS-TIP-12-146-01B-目标网络入侵检测和缓解策略中公开提供了其他缓解指南和推荐做法。
观察到任何可疑恶意活动的组织应遵循其既定的内部程序,并将其发现报告给 CISA,以便跟踪和关联其他事件。
没有已知的公共漏洞专门针对此漏洞。
ThroughTek公告
发行时间:2021年6月
亲爱的合作伙伴,
近期,ThroughTek Co., Ltd.(以下简称TUTK)发现很多客户错误地实现了我们的SDK,或者忽视了我们的SDK版本更新。
我们之前在 SDK 中实现的 P2P 库 TUTK 中发现了一个漏洞,直到(包括)3.1.5。主要担心的是,此漏洞可能会导致 IOTC 加密遭到破坏。此漏洞已在 2020 年年中发布的 SDK 3.3 版及更高版本中得到解决。我们强烈建议您检查产品中应用的 SDK 版本并按照以下说明操作以避免任何潜在问题。
在此说明中,我们鼓励您密切关注我们未来的 SDK 版本,以应对新的安全威胁。如果您有任何其他问题,请随时联系您的 TUTK 联系窗口以获得进一步的帮助。
受影响的 SDK 版本和固件实现
1. 3.1.10 以下的所有版本
2. 带有 nossl 标签的 SDK 版本
3. 不使用 AuthKey 进行 IOTC 连接的设备固件
4. 使用 AVAPI 模块而不启用 DTLS 机制的设备固件
5. 使用 P2PTunnel 或 RDT 模块的设备固件
影响
1. 设备欺骗
2. 设备证书劫持
3. 隐私数据 泄露 /视频泄露
采取的行动
1. 1.如果SDK是3.1.10及以上,请开启Authkey和DTLS
2.如果SDK低于3.1.10,请将库升级到3.3.1.0或3.4.2.0并开启Authkey/DTLS
成功利用所需技能
1 . 深入了解网络安全
2.熟悉网络嗅探工具
3. 深入了解加密算法
ThroughTek P2P 供应链漏洞详情
此特定漏洞影响了一家名为 ThroughTek 的公司的软件组件。该组件是许多消费级安全摄像头和物联网设备原始设备制造商 (OEM) 供应链的一部分。ThroughTek 表示,其解决方案已被数百万连接设备使用。1
ThroughTek 的 P2P 软件开发套件 (SDK) 用于通过 Internet 提供对音频/视频流的远程访问。P2P 被多个摄像机供应商使用,今天的披露是检查您的 CCTV 解决方案是否具有此功能的另一个原因。
使用易受攻击的摄像机的风险是未经授权访问机密音频/视频摄像机源。对于关键基础设施运营商而言,这可能会泄露敏感的业务、生产和员工信息。
在本文中,我们描述了 ThroughTek 漏洞、评估安全摄像头系统风险的困难,以及为什么我们对未来更好的软件安全性持乐观态度。
物联网安全摄像头的 P2P 功能
在深入研究我们的新发现之前,让我们回顾一下我们早期关于 Reolink 安全摄像头的 P2P 实现的发现。当我们在安全摄像头的上下文中谈论P2P时,我们指的是允许客户端通过互联网访问音频/视频流的功能。
我们关于 Reolink 的博客解释并展示了典型 P2P 架构的以下三个组件:
- NVR,连接到安全摄像头并代表生成音频/视频流的本地 P2P 服务器。
- 异地 P2P 服务器,由相机供应商或 P2P SDK 供应商管理。该服务器充当中间人,允许客户端和 NVR 相互建立连接。
- 从互联网访问音频/视频流的软件客户端,无论是移动应用程序还是桌面应用程序。
虽然 Reolink 开发了自己的 P2P 功能,但许多安全摄像头和物联网设备制造商从 ThruTek 等第三方供应商那里采购。但是,P2P SDK 的一个特点是 OEM 不仅仅许可 P2P 软件库。它们还接收用于验证客户端和服务器以及处理音频/视频流的基础设施服务(异地 P2P 服务器)。
ThroughTek 的网站显示其技术正被制造 IP 摄像机、婴儿和宠物监控摄像机以及机器人和电池设备的 OEM 使用。1
牢记这一点,现在让我们来看看ThroughTek 漏洞的详细信息。
ThroughTek P2P SDK 漏洞的发现
在 Nozomi Networks,我们有一条连续的设备管道进入我们的实验室环境,从 PLC 到物联网再到医疗设备。当我们收到新设备时,我们做的第一件事就是分析它的网络流量。
我们的实验室最近收到了一台 NVR,我们的团队很快确定它具有 P2P 功能。然后我们分析了 Windows 客户端通过 P2P 连接到 NVR 产生的网络流量。我们注意到有几个数据包连接到iotcplatform.com,ThroughTek 的 P2P 平台的客户端访问的域名。
然后我们开始研究客户端实现,很快意识到它嵌入了不同的 P2P 库集。软件客户端本质上是一个白标产品,正因为如此,它需要提供与多个 P2P 供应商的完全互操作性。
每个文件夹对应一个不同的第三方 P2P 提供商。
在正确的位置设置几个断点后,我们设法确定了对网络数据包有效载荷进行反混淆处理的有趣代码。我们后来解析了代码以了解它包含的命令类型。
我们使用“deobfuscated”一词来表示该协议缺乏安全的密钥交换,而是依赖于基于固定密钥的混淆方案。
相反,它依赖于基于固定密钥的混淆方案。
Reolink 和 ThroughTek 漏洞的后果是相似的:由于此流量穿越互联网,因此能够访问它的攻击者可以重建音频/视频流。
以下是我们开发的概念验证脚本,它从网络流量中对动态数据包进行反混淆。以XYEU开头的字符串是 P2P 网络中唯一标识设备的 UID。
我们于 2021 年 3 月负责任地披露了此漏洞,ThroughTek 及时承认了该问题。该公司还继续通知其客户并承诺通过添加“基于 DTLS ECDSA-PSK 的加密层”来修复该漏洞。ThroughTek解决 SDK 漏洞的网页建议客户启用安全功能或升级到当前版本。
ICSA-21-166-01最终被分配来跟踪此漏洞,其 CVSS v3 基本得分为 9.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I: H/A:N)。
评估此漏洞的风险很困难
由于多年来,ThroughTek 的 P2P 库已被多个供应商集成到许多不同的设备中,因此第三方几乎不可能跟踪受影响的产品。可利用此类漏洞的威胁模型是其实际影响的限制因素。
本质上,任何可以访问 NVR 和最终用户之间的网络流量的参与者,包括某些场景中的 P2P 第三方服务器提供商,都可以访问和查看机密的音频/视频流。
实现 P2P 协议的 DLL 有一个名为的导出IOTC_Get_Version,顾名思义,它返回内部版本号。在下面的截图中,我们看到版本号为 3.1.4.35,这是我们首先分析的客户端使用的版本。这个特定版本已经很旧了,并且使用了在其他 P2P 实现中也可以找到的硬编码密钥。
在进行进一步研究时,我们偶然发现了该库的更新版本,具有不同的混淆方案和不同的参数集。我们无法对这些库进行动态分析,因为事实证明,找到运行更新版本协议的设备比找到漏洞更具挑战性。
总之,尽管ThroughTek 表示其软件已被数百万台设备使用,并且P2P 功能在供应商中很普遍,但很难评估特定安全摄像头的风险。
使用P2P评估安全摄像头也很困难
通常,当买家查看各种安全摄像头的技术细节时,他们无法识别 P2P 提供商或找到正确的协议描述。根据我们的经验,获得此信息的最佳且唯一的方法是直接查看客户端/服务器实现。不幸的是,大多数买家不具备这样做的技能或倾向。
因此,防止陌生人通过互联网查看捕获的音频/视频内容的最佳方法是禁用 P2P 功能。
我们建议用户仅在极少数情况下启用 P2P,在这种情况下,供应商可以就其产品中使用的算法为何安全提供全面的技术解释。
进一步的考虑包括评估相机供应商和供应商所在司法管辖区的安全和隐私政策。
换句话说,不要冒险通过互联网查看摄像头,除非您已经进行了彻底的技术尽职调查并且对供应商的安全和隐私实践感到满意。
希望有更安全的软件供应链
SolarWinds 后世界对软件供应链风险的认识水平提高。美国联邦政府是世界上最大的买家之一,很快将要求其供应商为其购买的解决方案提供软件物料清单 (SBOM)。越来越多的商业购买者也正在实施此要求,并且随着时间的推移,将提高所有软件的安全标准。
与此同时,安全摄像头的采购,尤其是关键基础设施组织的采购,应该接受仔细的安全和供应商评估。
有关 ThroughTek 漏洞的具体缓解措施和推荐的控制系统安全最佳实践,请参阅ICS-CERT公告。