1.媒体来源:
iThome
2.记者署名:
文/陈晓莉｜2021-08-18发表
3.完整新闻标题:
物联智慧Kalay平台含有重大漏洞，将允许骇客自远端存取IoT装置
4.完整新闻内文:
美国国土安全部旗下的网络安全暨基础架构安全署（CISA）与资安业者FireEye本周警告
，台湾IoT平台业者物联智慧（ThroughTek）所打造的Kalay P2P SDK含有一重大安全漏洞
CVE-2021-28372，将允许骇客自远端执行任意程式或存取机密资讯，而物联智慧则已修补
该漏洞，并呼吁用户尽快更新。
https://i.imgur.com/idkJ2x8.jpg
根据物联智慧的说明，Kalay为一奠基于P2P技术的基础架构，具备多种模组化功能，还能
根据客户需求进行客制化，亦能以SDK形式嵌入应用程式或IoT装置。
FireEye指出，CVE-2021-28372藏匿在Kalay平台的一个核心元件中，骇客必须非常熟悉Ka
lay协定，并具备产生及传送讯息的能力，也必须先取得Kalay的用户ID（UID）才能发动
攻击，进一步危害相关UID的装置。CISA则说，成功开采漏洞将允许骇客执行恶意程式或
存取机密资讯，包括摄影机的音讯与视讯。其CVSS风险指数高达9.6。
研究人员表示，他们并不确定有多少装置受到该漏洞的影响，但物联智慧的官网显示，全
球有超过8,300万个装置采用Kalay平台。
受到波及的Kalay P2P SDK包括3.1.5与之前的版本，拥有nossl标签的SDK，在IOTC连线时
未使用AuthKey的装置韧体，采用AVAPI模组却未启用DTLS机制的韧体，以及采用RDT模组
或P2PTunnel的韧体。
迄今尚未发现任何锁定该漏洞的攻击程式，物联智慧建议用户应立即更新。
此外，在两个月前，CISA也曾警告该公司SDK含有CVE-2021-32934漏洞，当时物联智慧说
明早已于2018年释出的SDK 3.1.10修补该漏洞，以及客户不升级的状况。
5.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/146258
6.备注:
中嘉合作厂商相关连结 : https://reurl.cc/bXvjn3
可以看一下跟中嘉合作厂商的连结，有在用的要注意了，记得赶快去更新吧，不然这个资
案漏洞还满严重的= =