公開日:2021/08/18 最終更新日:2021/08/19

JVNVU#92334702
ThroughTek製Kalay P2P SDKにおけるアクセス制限不備の脆弱性

概要

ThroughTek社が提供するKalay P2P Software Development Kit(SDK)には、アクセス制限不備の脆弱性が存在します。

影響を受けるシステム

Kalay P2P Software Development Kit(SDK)の以下のバージョンが影響を受けます。

  • v3.1.5およびそれ以前
  • nosslタグが付いたSDKバージョン
  • IOTCへの接続にAuthKeyを使用しないデバイスのファームウェア
  • DTLSを有効にしないでAVAPIモジュールを使用するデバイスのファームウェア
  • P2PTunnelまたはRDTモジュールを使用するデバイスのファームウェア

詳細情報

Kalay P2P Software Development Kit(SDK)は、インターネット経由でオーディオストリームやビデオストリームにアクセスするための機能を提供する、ThroughTek社製の開発キットです。
Kalay P2P Software Development Kit(SDK)には、アクセス制限不備(CWE-284、CVE-2021-28372)の脆弱性が存在します。

想定される影響

遠隔の第三者によって、カメラフィードのような機微な情報にアクセスされたり、任意のコードを実行されたりする可能性があります。

対策方法

アップグレートする
SDKがv3.1.10より前の場合、開発者はライブラリをv3.3.1.0またはv3.4.2.0にアップグレードし、AuthkeyとDTLSを有効にすることを推奨しています。

ワークアラウンドを実施する
SDKがv3.1.10およびそれ以降の場合、開発者はAuthkeyとDTLSを有効にすることを推奨しています。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
横河計測株式会社 該当製品無し 2021/08/19
ベンダ リンク
ThroughTek About ThroughTek’s Kalay Platform Security Mechanism

参考情報

  1. ICS Advisory (ICSA-21-229-01)
    ThroughTek Kalay P2P SDK
  2. FireEye
    Mandiant Discloses Critical Vulnerability Affecting Millions of IoT Devices

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
基本値: 9.6
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2021/08/19
横河計測株式会社のベンダステータスが更新されました