ThroughTek Kalay P2P SDK远程代码执行漏洞 (CVE-2021-28372)预警

一、漏洞情况

8月17日，Mandiant(FireEye)与美国网络安全和基础设施安全局(CISA)合作披露了ThroughTek Kalay P2P SDK存在远程代码执行漏洞，漏洞CVE编号：CVE-2021-28372。该漏洞影响范围较广，且漏洞危害较大。攻击者可利用该漏洞访问敏感信息（如摄像头音视频）或远程执行代码，最终完全接管受影响的设备。目前厂商已发布SDK更新，建议受影响用户及时更新或升级SDK进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

ThroughTek Kalay P2P SDK是通泰科技（ThroughTek）公司的应用软件，用于视频监控产品和大型“音视频”文件的传输。

该漏洞影响使用ThroughTek Kalay云平台连接的物联网设备。攻击者可利用该漏洞收听实时音频、观看实时视频数据、破坏设备凭据、远程控制受影响的设备并执行进一步工作。此外,攻击者还可以使用 RPC（远程过程调用）功能来完全接管设备。

四、影响范围

• Kalay P2P SDK <=3.1.5
• 带有nossl标签的SDK版本
• 不使用AuthKey进行IOTC连接的设备固件
• 使用不启用DTLS机制的AVAPI模块的设备固件
• 使用P2PTunnel或RDT模块的设备固件

五、安全建议

目前ThroughTek已发布了SDK更新,建议通过以下方式及时修复或升级：

1）如果使用ThroughTek SDK v3.1.10及以上版本，请启用AuthKey和DTLS；

2）如果使用v3.1.10之前的旧版本ThroughTek SDK，请将库升级到v3.3.1.0或v3.4.2.0，并启用AuthKey和DTLS。

下载链接：

https://www.throughtek.com/please-update-the-sdk-version-to-minimize-the-risk-of-sensitive-information-being-accessed-by-unauthorized-third-party/

六、参考链接

• https://github.com/fireeye/Vulnerability-Disclosures/blob/master/FEYE-2021-0020/FEYE-2021-0020.md
• https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html
• https://us-cert.cisa.gov/ics/advisories/icsa-21-229-01
• https://www.throughtek.com/kalay_overview.html