Blog IT, Blog Marketing

Krytyczna luka w kamerach korzystających z sieci ThroughTek Kalay

Krytyczna luka w kamerach korzystających z sieci ThroughTek Kalay

Marcin Sarna , 23.08.2021 r.

Mandiant, CISA i ThroughTek ujawniają lukę w milionach urządzeń, która może pozwolić atakującym na oglądanie obrazu z kamer na żywo, tworzenie botnetów lub wykorzystywanie zhakowanych urządzeń jako punktu wyjścia do dalszych ataków.

Błąd jest krytyczny

Luki w zabezpieczeniach milionów urządzeń Internetu rzeczy (IoT), w tym kamer bezpieczeństwa, elektronicznych niani i innych urządzeń do cyfrowej rejestracji wideo, mogą umożliwić cyberatakującym uzyskanie zdalnego dostępu do tych urządzeń. To pozwoli przestępcom na oglądanie i słuchanie przekazów na żywo, a także pozyskanie danych uwierzytelniających co przygotuje grunt pod dalsze ataki.

Luki w urządzeniach IoT, które korzystają z sieci ThroughTek Kalay, zostały ujawnione przez firmę Mandiant zajmującą się bezpieczeństwem cybernetycznym we współpracy z Cybersecurity and Infrastructure Security Agency (CISA) oraz firmą ThroughTek.

Błąd jest śledzony pod numerem CVE-2021-28372 i posiada ocenę w systemie Common Vulnerability Scoring System (CVSS) na poziomie aż 9.6 - co klasyfikuje go jako błąd krytyczny. Zalecana jest aktualizacja protokołu Kalay do najnowszej wersji 3.1.10 w celu ochrony urządzeń i sieci przed atakami.

82 miliony zagrożonych urządzeń

Podczas gdy Mandiant nie był w stanie zebrać pełnej listy wszystkich dotkniętych problemem urządzeń, własne dane firmy ThroughTek sugerują, że 83 miliony podłączonych urządzeń jest połączonych poprzez sieć Kalay a więc tym samym potencjalnie zagrożonych.

Poprzednie badania przeprowadzone przez Nozomi Networks również znalazły luki w ThroughTek, ale nowe błędy ujawnione przez Mandiant to inna para kaloszy - pozwalają atakującym na zdalne wykonywanie kodu na urządzeniach. Eksperci są pewni, że biblioteki ThroughTek rozpowszechniane poprzez oficjalne aplikacje (zarówno Google Play Store jak i Apple App Store) pozwalają opracować w pełni funkcjonalną implementację protokołu Kalay firmy ThroughTek. To z kolei umożliwia wykonywanie kluczowych czynności, takich ja wykrycie urządzenia, rejestracja urządzenia, zdalne połączenie z klientem, uwierzytelnienie oraz przetwarzanie danych audio i wideo.

luki

Poprzez napisanie interfejsu do tworzenia i manipulowania żądaniami i odpowiedziami Kalay, specjaliści mogli zidentyfikować luki w protokole Kalay - przede wszystkim, zdolność do identyfikowania i rejestrowania urządzeń w sposób, który pozwala atakującym na ich przejęcie.

DevOps Engineer (Kubernetes, AWS) 26000 - 32000 PLN

Praca zdalna
Aplikuj

Specjalista ds. Cyberbezpieczeństwa

Warszawa
Aplikuj

Tester Automatyzujący

Warszawa
Aplikuj

Senior PHP Developer (Symfony)

Praca zdalna
Aplikuj

Frontend Developer - React

Praca zdalna
Aplikuj

Podszywają się pod prawdziwe urządzenia znających ich numer identyfikacyjny

Atakujący uzyskują to po wejściu w posiadanie unikalnego identyfikatora urządzenia klienckiego obsługującego protokół Kalay. Taki UID może być pozyskany poprzez web API, z którego korzystają np. aplikacje mobilne. Po uzyskaniu UID urządzenia można je zarejestrować, co powoduje, że serwery Kalay nadpisują istniejące urządzenie, kierując próby połączenia z tym urządzeniem na adres atakującego. W tym momencie napastnicy mogą uzyskać nazwę użytkownika i hasło potrzebne do uzyskania dostępu do urządzenia, które następnie mogą wykorzystać do uzyskania zdalnego dostępu do prawdziwego urządzenia - wraz z możliwością monitorowania danych audio i wideo w czasie rzeczywistym.

Jak to ujął Erik Barzdukas, menedżer w Mandiant Consulting:

Po uzyskaniu identyfikatorów UID atakujący może przekierować połączenia klienckie na siebie i uzyskać dane uwierzytelniające do urządzenia. Potem atakujący ma już możliwość oglądać wideo i słuchać dźwięku z urządzenia i generalnie robić z nim wszystko na co uprawnienia danego konta pozwalają.

Nieciekawe skutki

W efekcie mamy naruszenie prywatności użytkowników, szczególnie jeśli kamery i monitory są zainstalowane w ich własnych domach. Skompromitowane urządzenia w przedsiębiorstwach mogą z kolei pozwolić atakującym na podsłuchiwanie poufnych dyskusji i spotkań, zapewniając im dodatkowe możliwości do skompromitowania sieci danej firmy.

Istnieje również możliwość werbowania urządzeń do botnetu i wykorzystywania ich do przeprowadzania ataków DDoS. Barzdukas dodaje:

Ta luka może potencjalnie pozwolić na zdalne wykonanie kodu na urządzeniu ofiary, co będzie wykorzystane w złośliwy sposób na różne sposoby, takie jak potencjalne stworzenie botnetu z podatnych urządzeń lub dalsze atakowanie urządzeń znajdujących się w tej samej sieci co urządzenie ofiary. Konsumenci i firmy muszą wygospodarować czas - co najmniej raz w miesiącu - na sprawdzenie, czy ich inteligentne urządzenia mają aktualizacje do zainstalowania

Jednocześnie jednak exploit na CVE-2021-28372 jest dość skomplikowany i wymaga sporo czasu i wysiłku od atakującego.

Mandiant współpracuje z dostawcami, którzy używają protokołu Kalay, aby pomóc chronić urządzenia przed luką i zaleca, aby niezależnie od producenta, użytkownicy IoT regularnie stosowali poprawki i aktualizacje urządzeń, aby zapewnić, że są one chronione przed znanymi lukami. Frma w swoim komunikacie dziękuje ThroughTek oraz CISA za zaangażowanie w zabezpieczenie urządzeń IoT na całym świecie.

Najnowsze oferty pracy:

Senior .NET Developer - główne technologie

Senior .NET Developer

Umowa o pracę
Business Development Manager - główne technologie

Business Development Manager

B2B / Kontrakt
Business Development Manager - główne technologie

Business Development Manager

B2B / Kontrakt
Junior Rekruter - główne technologie

Junior Rekruter

Umowa zlecenie
Solution Engineer - Data Center Technologies - główne technologie

Solution Engineer - Data Center Technologies

Umowa o pracę

Polecane wpisy na blogu IT:

Czy pracodawcy płacą tyle, ile oczekują pracownicy? Wynagrodzenie w 2024 roku

Czy pracodawcy płacą tyle, ile oczekują pracownicy? Wynagrodzenie w 2024 roku

Jak odróżnić człowieka od wytworu AI?

Jak odróżnić człowieka od wytworu AI?

Czym się różni framework od biblioteki?

Czym się różni framework od biblioteki?

Co to jest prawo Moore'a?

Co to jest prawo Moore'a?

Jak zatrudniać najlepszych z sektora IT? - liczby

Jak zatrudniać najlepszych z sektora IT? - liczby

Dowiesz się co przetwarza apka na iOS

Dowiesz się co przetwarza apka na iOS

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej

W czym programujesz?

Popularne stanowiska

Praca w miastach