ThroughTek,2008年成立于中国台湾的物联网云服务平台解决方案提供商。近日,CISA发布新的ICS公告称,ThroughTek工具存在高危漏洞(CVSS评级9.1)。攻击者可以利用此漏洞访问音频、视频源和其他敏感信息,以及欺骗设备和劫持设备证书。由于ThroughTek软件组件被安全摄像头和智能设备供应商广泛使用,它们现在已集成到数百万个连接设备中。作为多家消费级安全摄像头和物联网设备OEM供应链的一部分,该漏洞影响了从IP摄像头到婴儿和宠物监控摄像头,以及机器人和电池供电设备的所有产品。目前,该漏洞存在于以下版本:3.1.5及更早的带有nossl标签的SDK版本。不使用AuthKey进行IOTC连接的设备固件。使用AVAPI模块且未启用DTLS机制的设备固件。使用P2PTunnel或RDT模块的设备固件。.CISA在一份新闻稿中表示,“ThroughTekP2P产品无法充分保护本地设备和ThroughTek服务器之间传输的数据。这可能会让攻击者访问敏感信息,例如相机信息。”五联智慧表示,部分客户“不慎错误地”实施了该公司的SDK,或“忽略”了他们的SDK版本更新。事实上,该漏洞在2020年3.3及之后的SDK版本中已经得到解决,但对于3.1.5版本(包括3.1.5版本)来说仍然是一个问题。缓解措施ThroughTek建议OEM实施以下缓解措施:任何运行SDK3.1.10及更高版本的OEM都应启用Authkey和DTLS;如果SDK是3.1.10之前的任何版本,则需要升级到v3.3.1.0或v3.4.2.0并启用authkey/DTLS。CISA建议用户采取预防措施以尽量减少违规风险:尽量减少所有控制系统设备和系统的网络暴露,并确保无法从Internet访问它们。将远程设备置于控制系统网络和防火墙后面,并将它们与业务网络隔离开来。对于远程访问,请使用安全方法,例如虚拟专用网络。但是请注意,VPN可能容易受到攻击,您还需要更新到可用的最新版本。最后,建议所有企业在部署防御措施之前进行适当的影响分析和风险评估。参考来源:https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01CISAhttps://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/
