今日，盾叔看到CISA釋出了一個新的 ICS公告，稱ThroughTek 工具中存在高危漏洞（CVSS評級9。1分）。

該漏洞可被攻擊者利用，從而訪問音訊、影片源以及其他敏感資訊，還可以欺騙裝置、劫持裝置證書。

由於ThroughTek 軟體元件被安全攝像頭和智慧裝置供應商廣泛使用，目前已被整合至數以百萬計的連線裝置中。作為多個消費級安全攝像頭和物聯網裝置原始裝置製造商供應鏈的組成部分，此次漏洞影響IP 攝像機到嬰兒和寵物監控攝像機，以及機器人和電池裝置。

目前，漏洞存在於以下版本：

3。1。5及更早版本

帶有nossl標籤的SDK版本

不使用AuthKey進行IOTC連線的裝置韌體

使用AVAPI模組而不啟用DTLS機制的裝置韌體

使用P2PTunnel或RDT模組的裝置韌體。

CISA 在新聞稿中表示，“ThroughTek P2P 產品不能充分保護在本地裝置和 ThroughTek 伺服器之間傳輸的資料。這可能允許攻擊者訪問敏感資訊，例如攝像頭資訊。”

物聯智慧則表示，部分客戶“錯誤地”實施了該公司的 SDK，或者“忽視”了他們的 SDK 版本更新。事實上，該漏洞已在SDK 3。3 版及 2020 年以後的版本中得到解決，但對於 3。1。5 版（包括 3。1。5 版）而言仍然是一個問題。

緩解措施

物聯智慧（ThroughTek） 建議原始裝置製造商實施以下緩解措施：

任何執行 SDK 3。1。10 及以後版本的原始裝置製造商都應該啟用 Authkey 和DTLS；

如果SDK是 3。1。10 之前的任何版本，則需要升級到v3。3。1。0 或 v3。4。2。0 並啟用 authkey/DTLS。

CISA 則建議使用者採取相應防禦措施，將漏洞的風險降至最低：

儘量減少所有控制系統裝置和系統的網路暴露，並確保它們不能從 Internet 訪問。

定位控制系統網路和防火牆後面的遠端裝置，並將它們與業務網路隔離。

如需遠端訪問，請使用虛擬專用網路 （VPN）等安全方法。不過也要意識到VPN可能存在漏洞，同樣需要更新到可用的最新版本。

最後，所有企業在部署防禦措施之前，最好都進行適當的影響分析和風險評估。

網路安全人才培養及網路安全隊伍的建設仍是國內通訊行業安全發展的要務，國內近年來持續組織攻防演練及攻防競賽，以戰代訓，以提升我國網路安全人才的整體實力。

在這場看不見硝煙的網路安全戰場，我們網盾安全學院憑藉紮實的技術功底、精準的面試攻略成為名副其實的名企offer收割機江湖更是盛傳：網盾科技每10個學員必出一個騰訊員工。 每100個學員在學完課程之後平均能夠拿到25到30個名企offer。

TAG: 裝置SDK漏洞版本ThroughTek