Fehler in ThroughTek SDK ermöglicht Angreifern das Ausspionieren von IoT-Geräten

Kürzlich wurde eine Sicherheitslücke entdeckt, die mehrere Versionen des ThroughTek Kalay P2P Software Development Kits (SDK) betrifft. Die Schwachstelle mit der Bezeichnung CVE-2021-28372 (CVSS-Score: 9.6) wurde Ende 2020 von FireEye Mandiant entdeckt und betrifft unsachgemäße Zugriffskontrollen in den Point-to-Point (P2P)-Produkten von ThroughTek, die bei erfolgreicher Ausnutzung das Abhören von Live-Audio, die Einsicht in Echtzeit-Videodaten oder die Kompromittierung von Geräteanmeldeinformationen ermöglichen könnten. Damit würde es Angreifern gelingen, die Kontrolle über ein betroffenes Gerät zu übernehmen, was zu einer Remotecodeausführung und zum unbefugten Zugriff auf sensible Informationen führen könnte.

Es existieren aktuell schätzungsweise 83 Millionen aktive Geräte, die auf der Kalay-Plattform laufen. Folgenden Versionen des Kalay P2P SDK sind von dieser Schwachstelle betroffen:

• Version 3.1.5 und früher
• SDK-Versionen mit dem nossl-Tag
• Firmware von Geräten, die keinen AuthKey für die IOTC-Verbindung verwenden.
• Firmware für Geräte, die AVAPI-Module verwenden, ohne den DTLS-Mechanismus zu aktivieren.
• Firmware für Geräte, die P2PTunnel- oder RDT-Module verwenden.

Die Kalay-Plattform des taiwanesischen Unternehmens ist eine P2P-Technologie, die mit dem Internet verbundene Videoüberwachungsprodukte wie IP-Kameras und Lichtkameras in die Lage versetzt, große Audio- und Videodateien mit geringer Latenz sicher zu übertragen. Ermöglicht wird dies durch das SDK, eine Implementierung des Kalay-Protokolls, die in mobile und Desktop-Apps sowie in mit dem Netzwerk verbundene IoT-Geräte eingebettet ist.

CVE-2021-28372 betrifft den Registrierungsprozess zwischen einem Gerät und seiner mobilen App, insbesondere die Art und Weise, wie es auf das Kalay-Netzwerk zugreift und diesem beitritt. Dies versetzt Angreifer in die Lage, die Gerätekennung des Opfers (die so genannte UID) zu fälschen, böswillig Geräte mit derselben UID im Netzwerk zu registrieren, den Registrierungsserver zu veranlassen, bestehende Geräte zu überschreiben und die Verbindung fälschlicherweise an ein betrügerisches Gerät zu übertragen.

Sobald der Angreifer die UID missbräuchlich registriert hat, werden alle Verbindungsversuche von Clients, die auf die UID des Opfers zugreifen wollen, an den Angreifer weitergeleitet. Der Angreifer kann anschließend den Verbindungsprozess fortsetzen und die für den Zugriff auf das Gerät erforderlichen Anmeldedaten (Benutzername und Kennwort) erhalten. Die kompromittierten Anmeldedaten ermöglichen dem Angreifer, das Kalay-Netzwerk zu nutzen, um sich aus der Ferne mit dem Originalgerät zu verbinden, auf die AV-Daten zuzugreifen und RPC-Aufrufe zu tätigen.

Unsere Handlungsempfehlungen:

• Es wird empfohlen, das Kalay-Protokoll auf Version 3.1.10 zu aktualisieren. Außerdem sollten DTLS und der Authentifizierungsschlüssel aktiviert werden, um Daten während der Übertragung zu schützen und eine zusätzliche Authentifizierungsebene während der Client-Verbindung hinzuzufügen.
• Wenn eine ältere SDK-Version als 3.1.10 vorliegt, aktualisieren Sie die Bibliothek auf v3.3.1.0 oder v3.4.2.0 und aktivieren Sie authkey/DTLS.
• Aktualisieren Sie regelmäßig Ihre IoT-Geräte.
• Verwenden Sie ein VPN, das DDoS-Angriffen entgegenwirken kann.
• Deaktivieren Sie UPnP (Universal Plug and Play), da diese Funktion dabei unterstützen soll, andere Netzwerkgeräte zu erkennen.