提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

CISA发布了一个新的ICS公告，指出在一个广泛使用的ThroughTek工具中发现了一个漏洞，使攻击者能够访问音频和视频源以及其他敏感信息。 

除了潜在的数据和视频泄漏外，该公司还承认，该漏洞允许攻击者不仅欺骗设备，而且劫持设备的证书。CISA在CVSS脆弱性严重性量表中给脆弱性评分为9.1分（满分为10分）。 

ThroughTek软件组件被安全摄像头和智能设备供应商广泛使用。他们的工具被整合到数以百万计的联网设备中，从IP摄像头到婴儿和宠物监控摄像头，以及机器人和电池设备。它也是多家消费级安防摄像头和物联网设备原始设备制造商供应链的一个组成部分。 

安全公司Nozomi Networks Labs发现了throuhtek的P2P SDK中的漏洞，并向throuhtek发送了通知。该通知促使CISA发布了自己的声明，称该漏洞可被远程攻击，攻击并不复杂。P2P功能允许用户通过互联网查看音频和视频流。 

该漏洞存在于3.1.5及以前版本、带有nossl标记的SDK版本、不使用AuthKey进行IOTC连接的设备固件、使用AVAPI模块但未启用DTLS机制的设备固件中，以及使用P2PTunnel或RDT模块的设备固件。ThroughTek P2P产品不能充分保护本地设备和ThroughTek服务器之间传输的数据。这可以让攻击者访问敏感信息，如摄像头feed，”CISA在发布中说。 

在一份声明中，Throuhtek表示，他们“发现”一些客户“错误地”实现了公司的SDK，或者“忽略”了他们的SDK版本更新。他们指出，该漏洞在2020年的SDK 3.3版及以后的版本中得到了解决，但对于3.1.5版及以上的任何版本仍然是一个问题。

ThroughTek表示，任何运行SDK 3.1.10及以上版本的原始设备制造商都应启用Authkey和DTLS。如果SDK低于3.1.10，则需要将库升级到3.3.1.0或3.4.2.0，并且需要启用Authkey/DTLS。 

CISA补充说，一般来说，用户应通过减少所有控制系统设备的网络暴露，并确保没有任何设备可从互联网访问，从而将风险降至最低。 

根据CISA，IT管理员应该在防火墙后面定位控制系统网络和远程设备，并将它们与业务网络隔离开来。 

P2P组件缺陷一直被认为是物联网设备使用中最严重的风险之一。2019年，iLnkP2P的一个漏洞使200多万台物联网设备面临被破坏的风险。 

保利与CLIPr合作解决Zoom疲劳问题，2020年DDoS日流量增长100%，10Tbps攻击的可能性增加：诺基亚SSD市场到2025年收入将达到515亿美元：IDC网络弹性公司Immersive Labs通过注册宣布C轮7500万美元，您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:36