Une vulnérabilité critique découverte dans un kit de développement logiciel (SDK) ThroughTek P2P utilisé par plusieurs fabricants de caméras de sécurité peut être exploitée pour accéder à distance aux flux de caméras.

ThroughTek est une société basée à Taïwan qui fournit des solutions IoT et M2M pour la surveillance, la sécurité, la maison intelligente, le stockage en nuage et les systèmes électroniques grand public. L’entreprise affirme que ses solutions sont utilisées par des millions d’appareils connectés.

Des chercheurs de la société de cybersécurité industrielle et IoT Nozomi Networks ont découvert que le SDK P2P fourni par ThroughTek à de nombreux OEM qui fabriquent des caméras de sécurité grand public et d’autres appareils IoT est affecté par une grave faille.

La vulnérabilité, identifiée comme CVE-2021-32934, est liée aux données transférées entre les appareils locaux et les serveurs distants qui ne sont pas correctement protégées.

« Essentiellement, tout acteur pouvant accéder au trafic réseau entre le NVR et l’utilisateur final, y compris le fournisseur de serveur tiers P2P dans certains scénarios, pourrait accéder et afficher des flux audio/vidéo confidentiels », a expliqué Nozomi dans un article de blog.

« Parce que la bibliothèque P2P de ThroughTek a été intégrée par plusieurs fournisseurs dans de nombreux appareils différents au fil des ans, il est pratiquement impossible pour un tiers de suivre les produits concernés. Le modèle de menace sous lequel ce type de vulnérabilité est exploitable est le facteur limitant de son impact réel », a noté la société.

Dans un avis de sécurité publié ce mois-ci, ThroughTek a conseillé aux clients de mettre à jour le SDK et de s’assurer qu’il a été mis en œuvre correctement.

Un avis concernant cette faille a également été publié par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), qui a conseillé aux OEM de prendre des mesures pour empêcher l’exploitation contre leurs appareils.

En relation: TP-Link corrige plusieurs vulnérabilités dans les caméras cloud NC

Connexes: Apple attribue 75 000 $ à un chercheur pour les vulnérabilités de piratage de caméras

Connexe : Critique…