美国国土安全部旗下的网络安全暨基础架构安全局(CISA)与安全企业FireEye本周警告,台湾IoT平台企业物联智能(ThroughTek)所打造的Kalay P2P SDK含有一重大安全漏洞CVE-2021-28372,将允许黑客自远程执行任意程序或访问机密信息,而物联智能则已修补该漏洞,并呼吁用户尽快更新。
根据物联智能的说明,Kalay为一奠基于P2P技术的基础架构,具备多种模块化功能,还能根据客户需求进行定制化,也能以SDK形式嵌入应用程序或IoT设备。
FireEye指出,CVE-2021-28372藏匿在Kalay平台的一个核心组件中,黑客必须非常熟悉Kalay协议,并具备产生及发送消息的能力,也必须先取得Kalay的用户ID(UID)才能发动攻击,进一步危害相关UID的设备。CISA则说,成功开采漏洞将允许黑客执行恶意程序或访问机密信息,包括摄影机的音频与视频。其CVSS风险指数高达9.6。
研究人员表示,他们并不确定有多少设备受到该漏洞的影响,但物联智能的官网显示,全球有超过8,300万个设备采用Kalay平台。
受到波及的Kalay P2P SDK包括3.1.5与之前的版本,拥有nossl标签的SDK,在IOTC连接时未使用AuthKey的设备固件,采用AVAPI模块却未激活DTLS机制的固件,以及采用RDT模块或P2PTunnel的固件。
迄今尚未发现任何锁定该漏洞的攻击程序,物联智能建议用户应立即更新。
此外,在两个月前,CISA也曾警告该公司SDK含有CVE-2021-32934漏洞,当时物联智能说明早已于2018年发布的SDK 3.1.10修补该漏洞,以及客户不升级的状况。