Lỗ hổng được gắn mã CVE-2021-28372 (điểm CVSS 9,6) được Công ty An ninh mạng Mandiant (Mỹ) phát hiện vào cuối năm 2020, liên quan đến lỗ hổng kiểm soát truy cập không phù hợp trong các phiên bản sản phẩm của bộ công cụ phát triển phần mềm P2P SDK của ThroughTek.
Theo Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), việc khai thác thành công lỗ hổng này cho phép kẻ tấn công có khả năng nghe âm thanh trực tiếp, xem luồng dữ liệu video trong thời gian thực, xâm phạm thông tin đăng nhập thiết bị. Từ đó để có thể dẫn đến cuộc tấn công tiếp theo dựa trên các chức năng của thiết bị ảnh hưởng, bao gồm thực thi mã từ xa.
Số liệu thống kê của ThroughTek cho thấy, hiện có khoảng 83 triệu thiết bị được kết nối thông qua mạng Kalay. Các phiên bản của Kalay P2P SDK bị ảnh hưởng bao gồm:
• Các phiên bản 3.1.5 trở về trước
• Các phiên bản SDK có thẻ nossl
• Thiết bị firmware không sử dụng AuthKey cho kết nối IOTC
• Thiết bị firmware sử dụng mô-đun AVAPI mà không bật cơ chế DTLS
• Thiết bị firmware sử dụng mô-đun P2Ptunel hoặc RDT
Lỗ hổng này ảnh hưởng đến các thiết bị sử dụng nền tảng Kalay của Công ty ThroughTek (có trụ sở tại Đài Loan). Nền tảng Kalay là một công nghệ P2P cho phép camera an ninh, camera giám sát trẻ em và các thiết bị giám sát video hỗ trợ internet khác xử lý việc truyền tải an toàn các tệp âm thanh cũng như video lớn với độ trễ thấp. Điều này được thực hiện thông qua SDK - một triển khai của giao thức Kalay, được tích hợp vào các ứng dụng dành cho thiết bị di động và máy tính để bàn cũng như các thiết bị IoT được kết nối mạng.
Lỗ hổng CVE-2021-28372 liên quan đến quá trình đăng ký giữa thiết bị và ứng dụng di động, đặc biệt là cách truy cập và tham gia mạng Kalay. Các nhà nghiên cứu cho biết lỗ hổng này cho phép kẻ tấn công giả mạo mã định danh của thiết bị nạn nhân (được gọi là UID) để đăng ký một thiết bị mà họ kiểm soát trên mạng Kalay với cùng một UID, khiến máy chủ đăng ký ghi đè thông tin trên thiết bị hiện có và thay đổi định tuyến các kết nối đến thiết bị giả mạo. Điều này dẫn đến các kết nối máy khách đến UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công.
Kẻ tấn công khai thác lỗ hổng để lấy thông tin đăng nhập
Các nhà nghiên cứu cho biết: “Một khi kẻ tấn công đã đăng ký một UID độc hại, bất kỳ kết nối máy khách nào truy cập vào UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công, sau đó họ có thể tiếp tục quá trình kết nối và lấy thông tin xác thực (tên người dùng và mật khẩu) cần thiết để truy cập thiết bị. Với thông tin đăng nhập đã thu thập được, kẻ tấn công có thể sử dụng mạng Kalay để kết nối từ xa với thiết bị gốc, truy cập dữ liệu AV, và thực hiện các lệnh gọi cuộc gọi thủ tục từ xa”.
Tuy nhiên, việc khai thác lỗ hổng CVE-2021-28372 khá phức tạp. Để thực hiện được điều này, các chuyên gia bảo mật cho biết những kẻ tấn công sẽ cần phải có kỹ năng chuyên sâu và toàn diện về giao thức Kalay. Bên cạnh đó là việc lấy Kalay UID thông qua kỹ nghệ xã hội hay các lỗ hổng khác trong API, hoặc các dịch vụ khác để có thể lợi dụng thực hiện cuộc tấn công. Từ đó xâm nhập từ xa các thiết bị tương ứng với UID thu được.
Trước đó vào tháng 6/2021, CISA cũng đã đưa ra cảnh báo về việc phát hiện một lỗ hổng bảo mật trong SDK P2P của ThroughTek (CVE-2021-32934), có thể bị lợi dụng để truy cập trái phép nguồn cấp dữ liệu âm thanh và video của camera. Tuy nhiên khác với lỗ hổng đó, Mandiant (công ty cung cấp dịch vụ bảo mật và an toàn thông tin trực thuộc FireEye) chia sẻ rằng, CVE-2021-28372 cho phép kẻ tấn công giao tiếp với các thiết bị từ xa. Điều này làm gia tăng rủi ro và mở ra các cuộc tấn công thực thi mã từ xa trên các thiết bị IoT bị ảnh hưởng.
Hiện ThroughTek đã phát hành các bản cập nhật SDK để giảm thiểu nguy cơ bị tấn công và khuyến nghị tất cả các tổ chức, người dùng IoT sử dụng Kalay nên nâng cấp lên phiên bản 3.1.10, đồng thời kích hoạt DTLS để bảo mật dữ liệu khi truyền tải và AuthKey nhằm bổ sung thêm một lớp xác thực trong quá trình kết nối máy khách.
Đinh Hồng Đạt
08:00 | 25/08/2021
16:00 | 06/09/2021
14:00 | 10/09/2021
08:00 | 23/08/2021
11:00 | 13/09/2021
13:00 | 13/08/2021
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
08:00 | 17/07/2024
Mới đây, một lỗ hổng bảo mật nghiêm trọng trong Exim Mail Server đã được phát hiện có thể cho phép kẻ tấn công gửi các tệp đính kèm độc hại đến hộp thư của người dùng mục tiêu.
16:00 | 30/05/2024
Các nhà nghiên cứu tới từ công ty bảo mật đám mây Zscaler (Mỹ) gần đây đã phân tích phiên bản HijackLoader mới có bổ sung các kỹ thuật lẩn tránh phát hiện. Bài viết này sẽ cùng khám phá về khả năng của phiên bản cập nhật này dựa trên báo cáo của Zscaler.
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
12:00 | 03/10/2024