抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

ThroughTek P2P SDK信息泄露漏洞（CVE-2021-32934）

宣布时间 2021-06-16

0x00 漏洞概述

CVE ID	CVE-2021-32934	时间	2021-06-16
类型	信息泄露	等级	严重
远程利用	是	影响范围
攻击庞大度	低	可用性	无
用户交互	无	所需权限	无
PoC/EXP	已果然	在野利用	否

0x01 漏洞详情

2021年06月15日，美国网络宁静和基础设施宁静局 (CISA)宣布预警，数以百万计的联网宁静和家用摄像头包罗一个信息泄露漏洞（CVE-2021-32934），其CVSS v3基本评分为9.1。

该漏洞存在于ThroughTek的P2P SDK中。由于当地设备和ThroughTek 服务器之间明文传输数据，远程攻击者可以通过利用此漏洞窃取敏感信息。而且该组件已被多家宁静摄像头的原始设备制造商 (OEM) 以及物联网设备制造商使用，例如婴儿和宠物监控摄像头，以及机器人和电池设备。

未授权检察这些设备的信息将导致诸多问题：对于要害基础设施运营商和企业而言，音视频信息会泄露敏感的业务数据、生产或竞争机密、可用于物理攻击的平面图信息以及员工信息等；而对于家庭用户来说，将泄露其隐私。

影响范围：

3.1.10以下版本

带有nossl标签的SDK版本

不使用AuthKey进行IOTC连接的设备固件

使用AVAPI�？槎黄粲肈TLS机制的设备固件

使用P2PTunnel或RDT�？榈纳璞腹碳�

0x02 处置建议

目前此漏洞已经修复，ThroughTek建议相关制造商实施以下缓解措施：

如果 SDK版本 >= 3.1.10 ，请启用 authkey 和 DTLS。

如果 SDK版本< 3.1.10，请将库升级到 v3.3.1.0 或 v3.4.2.0 并启用 authkey/DTLS。

官方链接：

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

通用宁静建议

尽量减少所有控制系统设备或系统的网络袒露情况，并确保它们不能从互联网访问。

将控制系统网络和远程设备置于防火墙之后，并将其与商业网络隔离。

当需要远程访问时使用宁静的要领，如虚拟专用网络（VPN），并确保VPN是最新版本。

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01

https://threatpost.com/millions-connected-cameras-eavesdropping/166950/

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

0x04 时间线

2021-06-15 CISA宣布宁静通告

2021-06-16 VSRC宣布宁静通告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号