美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)本周警告,臺灣業者「物聯智慧」(ThroughTek,TUTK)開發的P2P SDK,含有CVE-2021-32934漏洞,若遭成功利用,將允許未經授權的第三方存取機密資料,例如監視器的聲音或影片。

成立於2008年的物聯智慧,是一家物聯網雲端服務平臺解決方案供應商,他們打造了Kalay雲端平臺,供物聯網(IoT)裝置製造商可快速於市場上推出具備雲端功能的網路攝影機或其他IoT裝置,在2017年,他們登錄臺灣興櫃股票交易平臺。

圖片來源_物聯智慧

根據CISA的說明,物聯智慧藉由Kalay平臺替多家網路攝影機的製造商提供P2P的連線能力,但其P2P SDK含有一個漏洞,是以明文傳輸機密資訊,將允許未經許可的第三方存取這些機密資訊,影響了全球採用該P2P SDK的裝置。由於該漏洞可自遠端開採,且並不複雜,使得它的CVSS v3風險評分高達9.1。

物聯智慧則指出,最近發現有許多客戶的硬體產品並未正確採用SDK,或者未即時更新SDK,而帶來嚴重的安全漏洞,可能造成硬體裝置的合法身分被移植或盜用,或遭第三方盜用設備的認證權限,以及機密資料被盜用等。

事實上,物聯智慧早在2018年釋出的SDK 3.1.10中修補該漏洞,該公司強烈建議客戶查看產品中所採用的SDK版本,並儘快升級。此外,就算已更新至SDK 3.1.10或之後的版本,也應啟用AuthKey與DTLS。文⊙陳曉莉

編按:針對這次CISA提出的漏洞修補警告,經我們詢問臺廠「物聯智慧」(Throughtek,TUTK),他們提供了更多關於這次事件的細節說明。基本上,物聯智慧在2018年自行安全性檢視時,已經發現該漏洞並修補,也就是當時釋出的SDK 3.1.10版已經修補,不過,到了2021年4月,物聯智慧收到CISA通知,有安全顧問公司發現一些網路監控攝影機存在安全漏洞,而這些設備使用的仍是TUTK SDK 3.1.4以前的舊版本,也因此,今年才有CVE-2021-32934漏洞公布。

換言之,這些產品業者並未升級更新SDK而導致。物聯智慧說明,在過去三年,他們持續主動通知客戶應即時升級SDK至最新版本,對於客戶不升級的狀況,他們指出,部分客戶的舊有設備因不具備OTA功能,因此無法進行遠端韌體升級。另一方面,有些客戶不願啟用DTLS,可能因為怕會降低建立連線的速度,因此對升級SDK版本有所遲疑。

有那些產品使用物聯智慧的SDK?該公司表示,採用他們技術的產品遍布全球,主要產品包括各種網路攝影機,NVR/DVR等安防監控類產品。因此,他們強烈呼籲這些產品的業者,必須檢視產品中所採用的SDK版本,並進行版本升級操作。接下來,在這些產品廠商提供新版韌體並確認導入DTLS加密後,廠商便可透過強制韌體更新,或通知客戶更新版本的方式,讓用戶產品完成這項修補。

至於市面上有多少產品未修補?物聯智慧則說明,由於客戶產品並非完全採用OTA功能,以及客戶產品售出後是否持續通知使用者升級SDK,並不會告知物聯智慧,因此他們無法精準給予答覆。

未來,對於使用該SDK的網路攝影監控等廠商的升級動向,將成值得大眾關注的焦點,否則物聯智慧的這些客戶若是一直不願更新,這也意味物聯智慧SDK漏洞一直存在於市面,受害的將是用戶。整理⊙iThome資安主編羅正漢)


熱門新聞

Advertisement