Lỗ hổng được gắn mã CVE-2021-28372 (điểm CVSS 9,6) được Công ty An ninh mạng Mandiant (Mỹ) phát hiện vào cuối năm 2020, liên quan đến lỗ hổng kiểm soát truy cập không phù hợp trong các phiên bản sản phẩm của bộ công cụ phát triển phần mềm P2P SDK của ThroughTek.
Theo Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), việc khai thác thành công lỗ hổng này cho phép kẻ tấn công có khả năng nghe âm thanh trực tiếp, xem luồng dữ liệu video trong thời gian thực, xâm phạm thông tin đăng nhập thiết bị. Từ đó để có thể dẫn đến cuộc tấn công tiếp theo dựa trên các chức năng của thiết bị ảnh hưởng, bao gồm thực thi mã từ xa.
Số liệu thống kê của ThroughTek cho thấy, hiện có khoảng 83 triệu thiết bị được kết nối thông qua mạng Kalay. Các phiên bản của Kalay P2P SDK bị ảnh hưởng bao gồm:
• Các phiên bản 3.1.5 trở về trước
• Các phiên bản SDK có thẻ nossl
• Thiết bị firmware không sử dụng AuthKey cho kết nối IOTC
• Thiết bị firmware sử dụng mô-đun AVAPI mà không bật cơ chế DTLS
• Thiết bị firmware sử dụng mô-đun P2Ptunel hoặc RDT
Lỗ hổng này ảnh hưởng đến các thiết bị sử dụng nền tảng Kalay của Công ty ThroughTek (có trụ sở tại Đài Loan). Nền tảng Kalay là một công nghệ P2P cho phép camera an ninh, camera giám sát trẻ em và các thiết bị giám sát video hỗ trợ internet khác xử lý việc truyền tải an toàn các tệp âm thanh cũng như video lớn với độ trễ thấp. Điều này được thực hiện thông qua SDK - một triển khai của giao thức Kalay, được tích hợp vào các ứng dụng dành cho thiết bị di động và máy tính để bàn cũng như các thiết bị IoT được kết nối mạng.
Lỗ hổng CVE-2021-28372 liên quan đến quá trình đăng ký giữa thiết bị và ứng dụng di động, đặc biệt là cách truy cập và tham gia mạng Kalay. Các nhà nghiên cứu cho biết lỗ hổng này cho phép kẻ tấn công giả mạo mã định danh của thiết bị nạn nhân (được gọi là UID) để đăng ký một thiết bị mà họ kiểm soát trên mạng Kalay với cùng một UID, khiến máy chủ đăng ký ghi đè thông tin trên thiết bị hiện có và thay đổi định tuyến các kết nối đến thiết bị giả mạo. Điều này dẫn đến các kết nối máy khách đến UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công.
Kẻ tấn công khai thác lỗ hổng để lấy thông tin đăng nhập
Các nhà nghiên cứu cho biết: “Một khi kẻ tấn công đã đăng ký một UID độc hại, bất kỳ kết nối máy khách nào truy cập vào UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công, sau đó họ có thể tiếp tục quá trình kết nối và lấy thông tin xác thực (tên người dùng và mật khẩu) cần thiết để truy cập thiết bị. Với thông tin đăng nhập đã thu thập được, kẻ tấn công có thể sử dụng mạng Kalay để kết nối từ xa với thiết bị gốc, truy cập dữ liệu AV, và thực hiện các lệnh gọi cuộc gọi thủ tục từ xa”.
Tuy nhiên, việc khai thác lỗ hổng CVE-2021-28372 khá phức tạp. Để thực hiện được điều này, các chuyên gia bảo mật cho biết những kẻ tấn công sẽ cần phải có kỹ năng chuyên sâu và toàn diện về giao thức Kalay. Bên cạnh đó là việc lấy Kalay UID thông qua kỹ nghệ xã hội hay các lỗ hổng khác trong API, hoặc các dịch vụ khác để có thể lợi dụng thực hiện cuộc tấn công. Từ đó xâm nhập từ xa các thiết bị tương ứng với UID thu được.
Trước đó vào tháng 6/2021, CISA cũng đã đưa ra cảnh báo về việc phát hiện một lỗ hổng bảo mật trong SDK P2P của ThroughTek (CVE-2021-32934), có thể bị lợi dụng để truy cập trái phép nguồn cấp dữ liệu âm thanh và video của camera. Tuy nhiên khác với lỗ hổng đó, Mandiant (công ty cung cấp dịch vụ bảo mật và an toàn thông tin trực thuộc FireEye) chia sẻ rằng, CVE-2021-28372 cho phép kẻ tấn công giao tiếp với các thiết bị từ xa. Điều này làm gia tăng rủi ro và mở ra các cuộc tấn công thực thi mã từ xa trên các thiết bị IoT bị ảnh hưởng.
Hiện ThroughTek đã phát hành các bản cập nhật SDK để giảm thiểu nguy cơ bị tấn công và khuyến nghị tất cả các tổ chức, người dùng IoT sử dụng Kalay nên nâng cấp lên phiên bản 3.1.10, đồng thời kích hoạt DTLS để bảo mật dữ liệu khi truyền tải và AuthKey nhằm bổ sung thêm một lớp xác thực trong quá trình kết nối máy khách.
Đinh Hồng Đạt
08:00 | 25/08/2021
16:00 | 06/09/2021
14:00 | 10/09/2021
08:00 | 23/08/2021
11:00 | 13/09/2021
13:00 | 13/08/2021
13:00 | 27/08/2024
Ngân hàng Nhà nước Việt Nam ghi nhận gần đây có hiện tượng đối tượng lừa đảo, giả mạo giao diện hòm thư điện tử của Ngân hàng Nhà nước Việt Nam để gửi thông tin dẫn dụ người dân, khách hàng bấm vào đường link cập nhật thông tin sinh trắc học cho giao dịch ngân hàng.
10:00 | 23/08/2024
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.
13:00 | 09/10/2024