Kerentanan keamanan telah ditemukan mempengaruhi beberapa versi Software Development Kit (SDK) ThroughTek Kalay P2P, yang dapat disalahgunakan oleh penyerang secara remote untuk mengambil alih kendali perangkat yang terpengaruh dan berpotensi menyebabkan remote code execution.
Kerentanan tersebut dilacak sebagai CVE-2021-28372 dengan skor CVSS : 9,6 (kritis) dan ditemukan oleh FireEye Mandiant pada akhir tahun 2020. Kerentanan berkaitan dengan adanya kecacatan dalm kontrol akses yang tidak tepat dalam produk point-to-point (P2P) ThroughTek, eksploitasi yang berhasil dapat mengakibatkan “kemampuan untuk mendengarkan audio secara langsung, melihat data video secara real-time, dan mengkompromikan kredensial perangkat untuk serangan lebih lanjut berbasis pada fungsionalitas perangkat yang terbuka.”
“Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan remote code execution dan akses tidak sah ke informasi sensitif, seperti umpan audio / video kamera,” kata Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) dalam sebuah advisory yang mereka terbitkan.
Diyakini ada 83 juta perangkat aktif di platform Kalay. Berikut versi SDK Kalay P2P yang terpengaruh:
- Versi 3.1.5 dan versi sebelumnya
- Versi SDK yang dengan tag nossl
- Firmware perangkat yang tidak menggunakan AuthKey untuk koneksi IOTC
- Firmware perangkat yang menggunakan modul AVAPI tanpa mengaktifkan mekanisme DTLS
- Firmware perangkat menggunakan modul P2PTunnel atau RDT
Untuk mengurangi potensi eksploitasi, disarankan untuk memperbaharui protokol Kalay ke versi 3.1.10 serta mengaktifkan DTLS dan AuthKey untuk mengamankan data saat transit dan menambahkan lapisan otentikasi tambahan selama koneksi klien.
Pengembangan ini menandai kedua kalinya kerentanan serupa diungkapkan di SDK P2PThroughTek. Pada Juni 2021, CISA mengeluarkan peringatan peringatan tentang kerentanan kritis (CVE-2021-32934) yang dapat dieksploitasi untuk mengakses umpan audio dan video kamera melalui cara yang tidak tepat.
