Lỗ hổng được gắn mã CVE-2021-28372 (điểm CVSS 9,6) được Công ty An ninh mạng Mandiant (Mỹ) phát hiện vào cuối năm 2020, liên quan đến lỗ hổng kiểm soát truy cập không phù hợp trong các phiên bản sản phẩm của bộ công cụ phát triển phần mềm P2P SDK của ThroughTek.
Theo Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), việc khai thác thành công lỗ hổng này cho phép kẻ tấn công có khả năng nghe âm thanh trực tiếp, xem luồng dữ liệu video trong thời gian thực, xâm phạm thông tin đăng nhập thiết bị. Từ đó để có thể dẫn đến cuộc tấn công tiếp theo dựa trên các chức năng của thiết bị ảnh hưởng, bao gồm thực thi mã từ xa.
Số liệu thống kê của ThroughTek cho thấy, hiện có khoảng 83 triệu thiết bị được kết nối thông qua mạng Kalay. Các phiên bản của Kalay P2P SDK bị ảnh hưởng bao gồm:
• Các phiên bản 3.1.5 trở về trước
• Các phiên bản SDK có thẻ nossl
• Thiết bị firmware không sử dụng AuthKey cho kết nối IOTC
• Thiết bị firmware sử dụng mô-đun AVAPI mà không bật cơ chế DTLS
• Thiết bị firmware sử dụng mô-đun P2Ptunel hoặc RDT
Lỗ hổng này ảnh hưởng đến các thiết bị sử dụng nền tảng Kalay của Công ty ThroughTek (có trụ sở tại Đài Loan). Nền tảng Kalay là một công nghệ P2P cho phép camera an ninh, camera giám sát trẻ em và các thiết bị giám sát video hỗ trợ internet khác xử lý việc truyền tải an toàn các tệp âm thanh cũng như video lớn với độ trễ thấp. Điều này được thực hiện thông qua SDK - một triển khai của giao thức Kalay, được tích hợp vào các ứng dụng dành cho thiết bị di động và máy tính để bàn cũng như các thiết bị IoT được kết nối mạng.
Lỗ hổng CVE-2021-28372 liên quan đến quá trình đăng ký giữa thiết bị và ứng dụng di động, đặc biệt là cách truy cập và tham gia mạng Kalay. Các nhà nghiên cứu cho biết lỗ hổng này cho phép kẻ tấn công giả mạo mã định danh của thiết bị nạn nhân (được gọi là UID) để đăng ký một thiết bị mà họ kiểm soát trên mạng Kalay với cùng một UID, khiến máy chủ đăng ký ghi đè thông tin trên thiết bị hiện có và thay đổi định tuyến các kết nối đến thiết bị giả mạo. Điều này dẫn đến các kết nối máy khách đến UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công.
Kẻ tấn công khai thác lỗ hổng để lấy thông tin đăng nhập
Các nhà nghiên cứu cho biết: “Một khi kẻ tấn công đã đăng ký một UID độc hại, bất kỳ kết nối máy khách nào truy cập vào UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công, sau đó họ có thể tiếp tục quá trình kết nối và lấy thông tin xác thực (tên người dùng và mật khẩu) cần thiết để truy cập thiết bị. Với thông tin đăng nhập đã thu thập được, kẻ tấn công có thể sử dụng mạng Kalay để kết nối từ xa với thiết bị gốc, truy cập dữ liệu AV, và thực hiện các lệnh gọi cuộc gọi thủ tục từ xa”.
Tuy nhiên, việc khai thác lỗ hổng CVE-2021-28372 khá phức tạp. Để thực hiện được điều này, các chuyên gia bảo mật cho biết những kẻ tấn công sẽ cần phải có kỹ năng chuyên sâu và toàn diện về giao thức Kalay. Bên cạnh đó là việc lấy Kalay UID thông qua kỹ nghệ xã hội hay các lỗ hổng khác trong API, hoặc các dịch vụ khác để có thể lợi dụng thực hiện cuộc tấn công. Từ đó xâm nhập từ xa các thiết bị tương ứng với UID thu được.
Trước đó vào tháng 6/2021, CISA cũng đã đưa ra cảnh báo về việc phát hiện một lỗ hổng bảo mật trong SDK P2P của ThroughTek (CVE-2021-32934), có thể bị lợi dụng để truy cập trái phép nguồn cấp dữ liệu âm thanh và video của camera. Tuy nhiên khác với lỗ hổng đó, Mandiant (công ty cung cấp dịch vụ bảo mật và an toàn thông tin trực thuộc FireEye) chia sẻ rằng, CVE-2021-28372 cho phép kẻ tấn công giao tiếp với các thiết bị từ xa. Điều này làm gia tăng rủi ro và mở ra các cuộc tấn công thực thi mã từ xa trên các thiết bị IoT bị ảnh hưởng.
Hiện ThroughTek đã phát hành các bản cập nhật SDK để giảm thiểu nguy cơ bị tấn công và khuyến nghị tất cả các tổ chức, người dùng IoT sử dụng Kalay nên nâng cấp lên phiên bản 3.1.10, đồng thời kích hoạt DTLS để bảo mật dữ liệu khi truyền tải và AuthKey nhằm bổ sung thêm một lớp xác thực trong quá trình kết nối máy khách.