La vulnérabilité ThroughTek permet aux attaquants d'accéder aux flux des caméras de sécurité
Les kits de développement logiciel (SDK) de ThroughTek sont utilisés par les fabricants d'équipement d'origine dans des millions de caméras de sécurité grand public dans le monde, ainsi que des appareils Internet des objets (IoT).
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti qu'une vulnérabilité dans le logiciel ThroughTek utilisé dans les appareils connectés, y compris les caméras de surveillance pour bébé, pourrait donner aux attaquants l'accès aux flux vidéo et audio des caméras. Les appareils exécutant les SDK vulnérables sont également utilisés par les entreprises, permettant aux attaquants d'accéder aux données des employés, de la production, des clients et d'autres données sensibles. Un exploit réussi pourrait également permettre aux attaquants d'usurper des appareils et de détourner des certificats d'appareils.
La vulnérabilité, référencée CVE-2021-32934, affecte toutes les versions du SDK jusqu'à la version 3.1.5. La faible complexité de l’exploit sa capacité d’être réalisée à distance lui ont valu un score CVSS (Common Vulnerability Scoring System) de 9,1 sur 10.
La société de sécurité Zozomi Networks a découvert la vulnérabilité ThroughTek et l'a signalée à CISA. Zozomi conseille aux utilisateurs d'infrastructures industrielles et critiques de n'activer le P2P - une fonctionnalité permettant d'accéder aux flux audio et vidéo via Internet - que dans des « situations rares ».
Plus précisément, le P2P ne devrait être activé que lorsque « le fournisseur de l'appareil peut fournir une explication technique approfondie des raisons pour lesquelles les algorithmes utilisés dans leurs produits sont sécurisés ».
Dans un communiqué , ThroughTek, dont le siège est à Taïwan, a déclaré : Cette vulnérabilité a été corrigée dans les versions 3.3 et ultérieures du SDK, qui ont été publiées en mi-2020.
CISA et ThroughTek ont fourni deux mesures d'atténuation à mettre en œuvre pour les équipes de sécurité et les fabricants. Si la version du SDK est 3.1.10 et supérieure, les fabricants d'équipement d'origine doivent activer authkey et DTLS.
Si le SDK est une version antérieure à 3.1.10, ThroughTek conseille de mettre à niveau la bibliothèque vers la v3.3.1.0 ou la v3.4.2.0 et d'activer authkey/DTLS.