物联智慧Kalay平台含有重大漏洞，将允许骇客自远端存取IoT装置

美国国土安全部旗下的网络安全暨基础架构安全署（CISA）与资安业者FireEye本周警告，台湾IoT平台业者物联智慧（ThroughTek）所打造的Kalay P2P SDK含有一重大安全漏洞CVE-2021-28372，将允许骇客自远端执行任意程式或存取机密资讯，而物联智慧则已修补该漏洞，并呼吁用户尽快更新。

而就在两个月前，CISA也曾警告该公司SDK含有CVE-2021-32934漏洞，而当时物联智慧也说明早已于2018年释出的SDK 3.1.10修补该漏洞，以及客户不升级的状况。

根据物联智慧的说明，Kalay为一奠基于P2P技术的基础架构，具备多种模组化功能，还能根据客户需求进行客制化，亦能以SDK形式嵌入应用程序或IoT装置。

FireEye指出，CVE-2021-28372藏匿在Kalay平台的一个核心元件中，骇客必须非常熟悉Kalay协定，并具备产生及传送讯息的能力，也必须先取得Kalay的用户ID（UID）才能发动攻击，进一步危害相关UID的装置。CISA则说，成功开采漏洞将允许骇客执行恶意程式或存取机密资讯，包括摄影机的音讯与视讯。其CVSS风险指数高达9.6。

研究人员表示，他们并不确定有多少装置受到该漏洞的影响，但物联智慧的官网显示，全球有超过8,300万个装置采用Kalay平台。

受到波及的Kalay P2P SDK包括3.1.5与之前的版本，拥有nossl标签的SDK，在IOTC连线时未使用AuthKey的装置固件，采用AVAPI模组却未启用DTLS机制的固件，以及采用RDT模组或P2PTunnel的固件。

迄今尚未发现任何锁定该漏洞的攻击程式，物联智慧建议用户应立即更新。