Миллионы камер видеонаблюдения содержат серьезную уязвимость в программном обеспечении, позволяющую посторонним перехватывать видеопоток.

По шкале оценивания опасности CVSS v3 уязвимость (CVE-2021-32934) получила оценку 9,1 балла. Проблема затрагивает использующийся в ПО некоторых камер видеонаблюдения компонент ThroughTek от стороннего производителя. Этот же компонент используют также ряд производителей IoT-устройств.

Компонент ThroughTek представляет собой пиринговый (P2P) набор средств разработки ПО (SDK), обеспечивающий доступ к видео- и аудиопотоку через интернет.

Уязвимость пока не эксплуатируется хакерами. Тем не менее, последствия ее потенциальной эксплуатации могут быть весьма плачевными, и разработчик уже выпустил исправление.

Уязвимые версии:

Все версии ThroughTek до 3.1.10;

Версии SDK с тегом nossl;

Прошивка устройств, в которых не используется AuthKey для IOTC-соединения;

Прошивка устройств, в которых используется модуль AVAPI без включенного механизма DTLS;

Прошивка устройств, в которых используется P2PTunnel или RDT.

Что делать:

В версии SDK 3.1.10 или более поздних включить Authkey и DTLS;

Версии SDK старше чем 3.1.10 обновить библиотеку до версии 3.3.1.0 или 3.4.2.0 и включить Authkey/DTLS.

Конечным пользователям придется дожидаться, пока производители камер видеонаблюдения и других затронутых проблемой устройств не выпустят обновления.

Источник: securitylab.ru