آسیب پذیری بحرانی میلیون ها دستگاه IoT را تحت تأثیر قرار می دهد

Mandiant ، آژانس امنیت سایبری و امنیت زیرساخت های وزارت امنیت داخلی (CISA) ، و ارائه دهنده اینترنت اشیاء ThroughTek آسیب پذیری مهمی را نشان داده اند که بر میلیون ها دستگاه IoT تأثیر می گذارد و می تواند به مهاجمان اجازه دهد از خوراک های ویدئویی و صوتی از دوربین های وب ، مانیتورهای نوزاد و … سایر وسایل.

CVE-2021-28372 توسط Mandiant’s Jake Valletta ، Erik Barzdukas و Dillon Franke کشف شد و در چندین نسخه از پروتکل Kalay ThroughTek وجود دارد. نمره CVSS آن 9.6 است.

پروتکل Kalay به عنوان یک کیت توسعه نرم افزار (SDK) پیاده سازی می شود که در نرم افزارهای مشتری مانند برنامه تلفن همراه یا رومیزی و دستگاه های اینترنت اشیا مانند شبکه های هوشمند نصب شده است. ThroughTek ادعا می کند که بیش از 83 میلیون دستگاه فعال و حداقل 1.1 میلیارد اتصال ماهانه بر روی پلتفرم خود دارد و مشتریان آن شامل تولیدکنندگان دوربین IoT ، مانیتورهای کودک هوشمند و محصولات ضبط ویدئو دیجیتال (DVR) هستند.

از آنجا که پروتکل کالای قبل از اینکه دستگاه ها به دست مصرف کنندگان برسند ، توسط تولیدکنندگان OEM و فروشندگان یکپارچه شده است ، محققانی که این آسیب پذیری را کشف کردند ، نتوانستند لیست کاملی از دستگاه ها و سازمان هایی را که تحت تأثیر آنها قرار می گیرد تعیین کنند.

این اولین نقصی نیست که در ThroughTek در سال جاری فاش شد. در ماه مه 2021 ، محققان با شبکه های Nozomi یک آسیب پذیری دوربین امنیتی را تحت تأثیر قرار دادند که بر روی یک جزء نرم افزار از طریق ThroughTek تأثیر می گذارد. برخلاف این نقص ، CVE-2021-28372 به مهاجمان اجازه می دهد تا از راه دور با دستگاه ها ارتباط برقرار کنند و در این صورت دستگاه ها را کنترل کرده و به طور بالقوه اجرای کد از راه دور را انجام دهند.

محققان Mandiant از دو رویکرد برای تجزیه و تحلیل پروتکل استفاده کردند. آنها ابتدا برنامه های کاربردی را از Google Play و Apple App Store که دارای کتابخانه های ThroughTek بودند بارگیری و جدا کردند. آنها همچنین دستگاه های مختلفی با قابلیت Kalay خریداری کردند که بر اساس آنها حملات محلی و سخت افزاری را برای دسترسی به پوسته ، بازیابی تصاویر سیستم عامل و انجام آزمایشات پویاتر انجام دادند.

طی چند ماه ، تیم پیاده سازی کاربردی پروتکل Kalay را ایجاد کرد و با این کار آنها توانستند دستگاه کشف ، ثبت دستگاه ، اتصالات مشتری از راه دور ، احراز هویت و پردازش داده های صوتی و تصویری را در شبکه انجام دهند. آشنایی آنها با این پروتکل به آنها اجازه داد تا بر شناسایی منطق و آسیب پذیری های جریان در آن تمرکز کنند.

تیم Mandiant در یک پست وبلاگی در مورد یافته های خود توضیح می دهد که CVE-2021-28372 چگونه دسترسی دستگاه های مجهز به Kalay و پیوستن آنها به شبکه Kalay را تحت تأثیر قرار می دهد. آنها دریافتند که ثبت دستگاه فقط برای دسترسی به یک شبکه به شناسه اختصاصی اختصاصی (UID) 20 بایتی دستگاه نیاز دارد. UID معمولاً در دستگاهی با قابلیت Kalay از طریق API وب که توسط فروشنده محصول میزبانی می شود ، ارائه می شود.

اگر مهاجمان به UID دستگاه مورد نظر دسترسی پیدا کنند ، می توانند آن دستگاه را با همان UID در شبکه ثبت کنند و باعث شوند سرورهای Kalay دستگاه فعلی را بازنویسی کنند. با انجام این کار ، تلاش برای اتصال به سرویس گیرنده برای دسترسی به UID قربانی به مهاجمان هدایت می شود. مهاجمان می توانند اتصال را ادامه داده و به نام کاربری و رمز عبور مورد نیاز برای ورود به دستگاه دسترسی پیدا کنند.

“با استفاده از اعتبارنامه های به خطر افتاده ، مهاجم می تواند از شبکه Kalay برای اتصال از راه دور به دستگاه اصلی ، دسترسی به داده های AV و اجرا استفاده کند. [remote procedure call] تماس ها ، “محققان می نویسند.” آسیب پذیری ها در رابط RPC پیاده سازی شده توسط دستگاه می تواند منجر به سازش کامل دستگاه از راه دور و کامل شود. “

محققان خاطرنشان می کنند که یک حمله موفق مستلزم “دانش جامع پروتکل کالای” و همچنین توانایی ایجاد و ارسال پیام است. مهاجمان باید از طریق مهندسی اجتماعی یا آسیب پذیری API ها و سرویس هایی که UID های Kalay را باز می گردانند ، UID های Kalay را دریافت کنند. این به آنها امکان می دهد به دستگاه های مرتبط با UID هایی که دارند حمله کنند.

کاهش اقدامات برای دستگاه های آسیب پذیر
Mandiant آسیب پذیری را به همراه ThroughTek و CISA فاش کرد. به سازمان هایی که از پروتکل Kalay استفاده می کنند توصیه می شود راهنمای زیر را از طریق ThroughTek و Mandiant اتخاذ کنند:

اگر SDK پیاده سازی شده زیر نسخه 3.0 است ، کتابخانه را به نسخه 3.3.1.0 یا نسخه 3.4.2.0 ارتقا دهید و ویژگی های Authkey and Datagram Transport Layer Security (DTLS) را که پلت فرم Kalay ارائه می دهد فعال کنید. اگر SDK پیاده سازی شده نسخه 3.1.10 یا بالاتر است ، Authkey و DTLS را فعال کنید. همچنین به شرکت ها توصیه می شود امنیت موجود در API ها یا سایر سرویس هایی که کالای UID را برمی گردانند را مرور کنند.

Mandiant از صاحبان دستگاه های IoT می خواهد تا نرم افزار و برنامه های خود را به روز نگه دارند و از رمزهای پیچیده و منحصر به فرد برای حساب های مرتبط با دستگاه های خود استفاده کنند. علاوه بر این ، آنها باید از اتصال به دستگاه های آسیب پذیر از شبکه های نامعتبر ، مانند Wi-Fi عمومی اجتناب کنند.

برای تولیدکنندگان ، این شرکت توصیه می کند که اطمینان حاصل شود که سازندگان دستگاه های اینترنت اشیا کنترل هایی را در مورد API های وب مورد استفاده برای بدست آوردن UID ها ، نام کاربری و گذرواژه های Kalay اعمال می کنند ، زیرا این امر باعث می شود که مهاجمان نتوانند به داده های مورد نیاز برای دسترسی از راه دور به دستگاه های هدف دسترسی پیدا کنند.

محققان می نویسند: “CVE-2021-28372 خطری بزرگ برای امنیت و حریم خصوصی کاربر نهایی است و باید به طور مناسب کاهش یابد.” “دستگاه های محافظت نشده ، مانند دوربین های اینترنت اشیاء ، می توانند از راه دور با دسترسی به UID به خطر بیفتند و بسته به عملکرد دستگاه ، حملات بیشتری امکان پذیر است.”

CISA همچنین هشدار مشاوره ای در مورد نقص ThroughTek داده است.