米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月17日(現地時間)、「CISA Releases Security Advisory for ThroughTek Kalay P2P SDK|CISA」において、ThroughTekが提供しているIoT向けプラットフォーム「Kalay P2P SDK」に不適切なアクセス制御に起因する脆弱性が存在するとして、ICSアドバイザリ「ICSA-21-229-01: ThroughTek Kalay P2P SDK」をリリースした。この脆弱性を悪用されると、リモートの攻撃者から機密情報にアクセスされたり任意のコードを実行されるなどの被害を受けるおそれがあるという。
ICSA-21-229-01の全文は以下のページで読むことができる。
Kalay P2P Software Development Kit(SDK)は、インターネット経由でオーディオストリームやビデオストリームにアクセスするための機能を提供する開発ツールキットである。このSDKによって実装されるKalayプロトコルに不適切なアクセス制御の脆弱性が含まれており、遠隔の第三者がリモートからデバイスと直接通信し、デバイス内部のカメラフィードなどの情報にアクセスされたり、任意のコードを実行されてデバイスを制御さたりする危険性があるとのこと。
以下のバージョンのKalay P2P SDKがこの脆弱性の影響を受けるとされている。
- バージョン3.1.5以前
- nosslタグ付きのSDKバージョン
- IOTC接続にAuthKeyを使用しないデバイスのファームウェア
- DTLSメカニズムを有効にせずにAVAPIモジュールを使用するデバイスのファームウェア
- P2PTunnelまたはRDTモジュールを使用するデバイスのファームウェア
該当する脆弱性はCVE-2021-28372およびFEYE-2021-0020として追跡されており、CVSS v3.1の基本スコアは9.6で、深刻度「緊急」に分類されている。
ThroughTekでは、影響を受ける製品やサービスの提供者に対して、次の緩和策を実施することを推奨している。
- SDKがバージョン3.1.10以降の場合は、authkeyとDTLSを有効にする
- SDKが3.1.10より前のバージョンの場合は、ライブラリをv3.3.1.0またはv3.4.2.0にアップデートし、authkeyとDTLSを有効にする
セキュリティベンダーのFireEyeは、公式ブログにおいてこの脆弱性に関するより詳細な情報を公開している。
FireEyeによれば、発見された脆弱性の影響を受ける製品および企業の完全なリストは作成できていないものの、Kalayプラットフォーム上で動作するアクティブなデバイスの規模から考えると、数百万のIoT機器が影響を受ける可能性があるとのことだ。