[新聞] 物聯智慧Kalay平臺含有重大漏洞,將允許駭客自遠端存取IoT裝置已回收
1.媒體來源:
iThome
2.記者署名:
文/陳曉莉|2021-08-18發表
3.完整新聞標題:
物聯智慧Kalay平臺含有重大漏洞,將允許駭客自遠端存取IoT裝置
4.完整新聞內文:
美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)與資安業者FireEye本周警告
,臺灣IoT平臺業者物聯智慧(ThroughTek)所打造的Kalay P2P SDK含有一重大安全漏洞
CVE-2021-28372,將允許駭客自遠端執行任意程式或存取機密資訊,而物聯智慧則已修補
該漏洞,並呼籲用戶儘快更新。
https://i.imgur.com/idkJ2x8.jpg
根據物聯智慧的說明,Kalay為一奠基於P2P技術的基礎架構,具備多種模組化功能,還能
根據客戶需求進行客製化,亦能以SDK形式嵌入應用程式或IoT裝置。
FireEye指出,CVE-2021-28372藏匿在Kalay平臺的一個核心元件中,駭客必須非常熟悉Ka
lay協定,並具備產生及傳送訊息的能力,也必須先取得Kalay的用戶ID(UID)才能發動
攻擊,進一步危害相關UID的裝置。CISA則說,成功開採漏洞將允許駭客執行惡意程式或
存取機密資訊,包括攝影機的音訊與視訊。其CVSS風險指數高達9.6。
研究人員表示,他們並不確定有多少裝置受到該漏洞的影響,但物聯智慧的官網顯示,全
球有超過8,300萬個裝置採用Kalay平臺。
受到波及的Kalay P2P SDK包括3.1.5與之前的版本,擁有nossl標籤的SDK,在IOTC連線時
未使用AuthKey的裝置韌體,採用AVAPI模組卻未啟用DTLS機制的韌體,以及採用RDT模組
或P2PTunnel的韌體。
迄今尚未發現任何鎖定該漏洞的攻擊程式,物聯智慧建議用戶應立即更新。
此外,在兩個月前,CISA也曾警告該公司SDK含有CVE-2021-32934漏洞,當時物聯智慧說
明早已於2018年釋出的SDK 3.1.10修補該漏洞,以及客戶不升級的狀況。
5.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/146258
6.備註:
中嘉合作廠商相關連結 : https://reurl.cc/bXvjn3
可以看一下跟中嘉合作廠商的連結,有在用的要注意了,記得趕快去更新吧,不然這個資
案漏洞還滿嚴重的= =
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.12.60.202 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1629358792.A.53D.html
→
08/19 15:42,
4年前
, 1F
08/19 15:42, 1F
推
08/19 16:13,
4年前
, 2F
08/19 16:13, 2F
→
08/19 16:13,
4年前
, 3F
08/19 16:13, 3F
想到其實滿怕的,之前有不少攝像頭被駭的新聞
推
08/19 19:31,
4年前
, 4F
08/19 19:31, 4F
→
08/19 19:31,
4年前
, 5F
08/19 19:31, 5F
推
08/19 19:54,
4年前
, 6F
08/19 19:54, 6F
後續應該會處理吧
※ 編輯: sandysujt (101.10.7.205 臺灣), 08/19/2021 21:59:28
→
08/20 12:01,
4年前
, 7F
08/20 12:01, 7F
→
08/20 20:21,
4年前
, 8F
08/20 20:21, 8F
→
08/20 20:21,
4年前
, 9F
08/20 20:21, 9F
→
08/20 23:19,
4年前
, 10F
08/20 23:19, 10F
→
08/20 23:19,
4年前
, 11F
08/20 23:19, 11F