Blog IT, Blog Marketing

Krytyczna luka w kamerach korzystających z sieci ThroughTek Kalay

Krytyczna luka w kamerach korzystających z sieci ThroughTek Kalay

Marcin Sarna , 23.08.2021 r.

Mandiant, CISA i ThroughTek ujawniają lukę w milionach urządzeń, która może pozwolić atakującym na oglądanie obrazu z kamer na żywo, tworzenie botnetów lub wykorzystywanie zhakowanych urządzeń jako punktu wyjścia do dalszych ataków.

Błąd jest krytyczny

Luki w zabezpieczeniach milionów urządzeń Internetu rzeczy (IoT), w tym kamer bezpieczeństwa, elektronicznych niani i innych urządzeń do cyfrowej rejestracji wideo, mogą umożliwić cyberatakującym uzyskanie zdalnego dostępu do tych urządzeń. To pozwoli przestępcom na oglądanie i słuchanie przekazów na żywo, a także pozyskanie danych uwierzytelniających co przygotuje grunt pod dalsze ataki.

Luki w urządzeniach IoT, które korzystają z sieci ThroughTek Kalay, zostały ujawnione przez firmę Mandiant zajmującą się bezpieczeństwem cybernetycznym we współpracy z Cybersecurity and Infrastructure Security Agency (CISA) oraz firmą ThroughTek.

Błąd jest śledzony pod numerem CVE-2021-28372 i posiada ocenę w systemie Common Vulnerability Scoring System (CVSS) na poziomie aż 9.6 - co klasyfikuje go jako błąd krytyczny. Zalecana jest aktualizacja protokołu Kalay do najnowszej wersji 3.1.10 w celu ochrony urządzeń i sieci przed atakami.

82 miliony zagrożonych urządzeń

Podczas gdy Mandiant nie był w stanie zebrać pełnej listy wszystkich dotkniętych problemem urządzeń, własne dane firmy ThroughTek sugerują, że 83 miliony podłączonych urządzeń jest połączonych poprzez sieć Kalay a więc tym samym potencjalnie zagrożonych.

Poprzednie badania przeprowadzone przez Nozomi Networks również znalazły luki w ThroughTek, ale nowe błędy ujawnione przez Mandiant to inna para kaloszy - pozwalają atakującym na zdalne wykonywanie kodu na urządzeniach. Eksperci są pewni, że biblioteki ThroughTek rozpowszechniane poprzez oficjalne aplikacje (zarówno Google Play Store jak i Apple App Store) pozwalają opracować w pełni funkcjonalną implementację protokołu Kalay firmy ThroughTek. To z kolei umożliwia wykonywanie kluczowych czynności, takich ja wykrycie urządzenia, rejestracja urządzenia, zdalne połączenie z klientem, uwierzytelnienie oraz przetwarzanie danych audio i wideo.

luki

Poprzez napisanie interfejsu do tworzenia i manipulowania żądaniami i odpowiedziami Kalay, specjaliści mogli zidentyfikować luki w protokole Kalay - przede wszystkim, zdolność do identyfikowania i rejestrowania urządzeń w sposób, który pozwala atakującym na ich przejęcie.

Podszywają się pod prawdziwe urządzenia znających ich numer identyfikacyjny

Atakujący uzyskują to po wejściu w posiadanie unikalnego identyfikatora urządzenia klienckiego obsługującego protokół Kalay. Taki UID może być pozyskany poprzez web API, z którego korzystają np. aplikacje mobilne. Po uzyskaniu UID urządzenia można je zarejestrować, co powoduje, że serwery Kalay nadpisują istniejące urządzenie, kierując próby połączenia z tym urządzeniem na adres atakującego. W tym momencie napastnicy mogą uzyskać nazwę użytkownika i hasło potrzebne do uzyskania dostępu do urządzenia, które następnie mogą wykorzystać do uzyskania zdalnego dostępu do prawdziwego urządzenia - wraz z możliwością monitorowania danych audio i wideo w czasie rzeczywistym.

Jak to ujął Erik Barzdukas, menedżer w Mandiant Consulting:

Po uzyskaniu identyfikatorów UID atakujący może przekierować połączenia klienckie na siebie i uzyskać dane uwierzytelniające do urządzenia. Potem atakujący ma już możliwość oglądać wideo i słuchać dźwięku z urządzenia i generalnie robić z nim wszystko na co uprawnienia danego konta pozwalają.

Nieciekawe skutki

W efekcie mamy naruszenie prywatności użytkowników, szczególnie jeśli kamery i monitory są zainstalowane w ich własnych domach. Skompromitowane urządzenia w przedsiębiorstwach mogą z kolei pozwolić atakującym na podsłuchiwanie poufnych dyskusji i spotkań, zapewniając im dodatkowe możliwości do skompromitowania sieci danej firmy.

Istnieje również możliwość werbowania urządzeń do botnetu i wykorzystywania ich do przeprowadzania ataków DDoS. Barzdukas dodaje:

Ta luka może potencjalnie pozwolić na zdalne wykonanie kodu na urządzeniu ofiary, co będzie wykorzystane w złośliwy sposób na różne sposoby, takie jak potencjalne stworzenie botnetu z podatnych urządzeń lub dalsze atakowanie urządzeń znajdujących się w tej samej sieci co urządzenie ofiary. Konsumenci i firmy muszą wygospodarować czas - co najmniej raz w miesiącu - na sprawdzenie, czy ich inteligentne urządzenia mają aktualizacje do zainstalowania

Jednocześnie jednak exploit na CVE-2021-28372 jest dość skomplikowany i wymaga sporo czasu i wysiłku od atakującego.

Mandiant współpracuje z dostawcami, którzy używają protokołu Kalay, aby pomóc chronić urządzenia przed luką i zaleca, aby niezależnie od producenta, użytkownicy IoT regularnie stosowali poprawki i aktualizacje urządzeń, aby zapewnić, że są one chronione przed znanymi lukami. Frma w swoim komunikacie dziękuje ThroughTek oraz CISA za zaangażowanie w zabezpieczenie urządzeń IoT na całym świecie.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej