ThroughTek Kalay P2P SDK遠程代碼執行漏洞?(CVE-2021-28372)預警

一、漏洞情況

8月17日，Mandiant(FireEye)與美國網絡安全和基礎設施安全局(CISA)合作披露了ThroughTek Kalay P2P SDK存在遠程代碼執行漏洞，漏洞CVE編號：CVE-2021-28372。該漏洞影響范圍較廣，且漏洞危害較大。攻擊者可利用該漏洞訪問敏感信息（如攝像頭音視頻）或遠程執行代碼，最終完全接管受影響的設備。目前廠商已發布SDK更新，建議受影響用戶及時更新或升級SDK進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

ThroughTek Kalay P2P SDK是通泰科技（ThroughTek）公司的應用軟件，用于視頻監控產品和大型“音視頻”文件的傳輸。

該漏洞影響使用ThroughTek Kalay云平臺連接的物聯網設備。攻擊者可利用該漏洞收聽實時音頻、觀看實時視頻數據、破壞設備憑據、遠程控制受影響的設備并執行進一步工作。此外,攻擊者還可以使用 RPC（遠程過程調用）功能來完全接管設備。

四、影響范圍

• Kalay P2P SDK <=3.1.5
• 帶有nossl標簽的SDK版本
• 不使用AuthKey進行IOTC連接的設備固件
• 使用不啟用DTLS機制的AVAPI模塊的設備固件
• 使用P2PTunnel或RDT模塊的設備固件

五、安全建議

目前ThroughTek已發布了SDK更新,建議通過以下方式及時修復或升級：

1）如果使用ThroughTek SDK v3.1.10及以上版本，請啟用AuthKey和DTLS；

2）如果使用v3.1.10之前的舊版本ThroughTek SDK，請將庫升級到v3.3.1.0或v3.4.2.0，并啟用AuthKey和DTLS。

下載鏈接：

https://www.throughtek.com/please-update-the-sdk-version-to-minimize-the-risk-of-sensitive-information-being-accessed-by-unauthorized-third-party/

六、參考鏈接

• https://github.com/fireeye/Vulnerability-Disclosures/blob/master/FEYE-2021-0020/FEYE-2021-0020.md
• https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html
• https://us-cert.cisa.gov/ics/advisories/icsa-21-229-01
• https://www.throughtek.com/kalay_overview.html