Une vulnérabilité de sécurité a été trouvée affectant plusieurs versions de ThroughTek Kalay P2P Software Development Kit (SDK), qui pourrait être exploitée par un attaquant distant pour prendre le contrôle d’un appareil affecté et potentiellement conduire à l’exécution de code à distance.

Suivi comme CVE-2021-28372 (score CVSS : 9,6) et découvert par FireEye Mandiant fin 2020, la faiblesse concerne une faille de contrôle d’accès inappropriée dans les produits point à point (P2P) ThroughTek, dont l’exploitation réussie pourrait entraîner la « capacité d’écouter de l’audio en direct, de regarder des données vidéo en temps réel et compromettre les informations d’identification de l’appareil pour d’autres attaques basées sur les fonctionnalités exposées de l’appareil. »

« L’exploitation réussie de cette vulnérabilité pourrait permettre l’exécution de code à distance et l’accès non autorisé à des informations sensibles, telles que les flux audio/vidéo des caméras », l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) c’est noté dans un avis.

Il y aurait 83 millions d’appareils actifs sur la plate-forme Kalay. Les versions suivantes de Kalay P2P SDK sont impactées –

• Versions 3.1.5 et antérieures
• Versions SDK avec la balise nossl
• Micrologiciel de l’appareil qui n’utilise pas AuthKey pour la connexion IOTC
• Firmware de l’appareil utilisant le module AVAPI sans activer le mécanisme DTLS
• Firmware de l’appareil utilisant P2PTunnel ou module RDT

La plate-forme Kalay de la société taïwanaise est un Technologie P2P qui permet aux caméras IP, caméras légères, moniteurs pour bébé et autres produits de vidéosurveillance compatibles Internet de gérer la transmission sécurisée de fichiers audio et vidéo volumineux à faible latence. Ceci est rendu possible grâce au SDK – une implémentation du protocole Kalay – qui est intégré aux applications mobiles et de bureau et aux appareils IoT en réseau.

CVE-2021-28372 réside dans le processus d’enregistrement entre les appareils et leurs applications mobiles, en particulier la façon dont ils accèdent et rejoignent le réseau Kalay, permettant aux attaquants d’usurper l’identifiant d’un appareil victime (appelé UID) pour enregistrer de manière malveillante un appareil sur le réseau avec le même UID, obligeant les serveurs d’enregistrement à écraser le périphérique existant et à acheminer les connexions pour qu’elles soient acheminées par erreur vers le périphérique malveillant.

« Une fois qu’un attaquant a enregistré de manière malveillante un UID, toute tentative de connexion client pour accéder à l’UID de la victime sera dirigée vers l’attaquant », ont déclaré les chercheurs. « L’attaquant peut alors poursuivre le processus de connexion et obtenir les éléments d’authentification (un nom d’utilisateur et un mot de passe) nécessaires pour accéder à l’appareil. Avec les informations d’identification compromises, un attaquant peut utiliser le réseau Kalay pour se connecter à distance à l’appareil d’origine, accéder aux données AV, et exécutez les appels RPC. »

Cependant, il convient de souligner qu’un adversaire aurait besoin d’une « connaissance complète » du protocole Kalay, sans parler d’obtenir les UID Kalay via l’ingénierie sociale ou d’autres vulnérabilités dans les API ou les services qui pourraient être exploités pour mener à bien les attaques.

Pour atténuer toute exploitation potentielle, il est recommandé de mettre à niveau le protocole Kalay vers la version 3.1.10, d’activer DTLS et AuthKey pour sécuriser les données en transit et d’ajouter une couche d’authentification supplémentaire lors de la connexion client.

Le développement marque la deuxième fois qu’une vulnérabilité similaire est divulguée dans le SDK P2P de ThroughTek. En juin 2021, CISA a émis une alerte d’avertissement concernant une faille critique (CVE-2021-32934) qui pourrait être exploitée pour accéder de manière incorrecte aux flux audio et vidéo de la caméra.