今日，盾叔看到CISA发布了一个新的 ICS公告，称ThroughTek 工具中存在高危漏洞（CVSS评级9.1分）。该漏洞可被攻击者利用，从而访问音频、视频源以及其他敏感信息，还可以欺骗设备、劫持设备证书。

由于ThroughTek 软件组件被安全摄像头和智能设备供应商广泛使用，目前已被整合至数以百万计的连接设备中。作为多个消费级安全摄像头和物联网设备原始设备制造商供应链的组成部分，此次漏洞影响IP 摄像机到婴儿和宠物监控摄像机，以及机器人和电池设备。

目前，漏洞存在于以下版本：

3.1.5及更早版本

带有nossl标签的SDK版本

不使用AuthKey进行IOTC连接的设备固件

使用AVAPI模块而不启用DTLS机制的设备固件

使用P2PTunnel或RDT模块的设备固件。

CISA 在新闻稿中表示，“ThroughTek P2P 产品不能充分保护在本地设备和 ThroughTek 服务器之间传输的数据。这可能允许攻击者访问敏感信息，例如摄像头信息。”

物联智慧则表示，部分客户“错误地”实施了该公司的 SDK，或者“忽视”了他们的 SDK 版本更新。事实上，该漏洞已在SDK 3.3 版及 2020 年以后的版本中得到解决，但对于 3.1.5 版（包括 3.1.5 版）而言仍然是一个问题。

缓解措施

物联智慧（ThroughTek） 建议原始设备制造商实施以下缓解措施：

任何运行 SDK 3.1.10 及以后版本的原始设备制造商都应该启用 Authkey 和DTLS；

如果SDK是 3.1.10 之前的任何版本，则需要升级到v3.3.1.0 或 v3.4.2.0 并启用 authkey/DTLS。

CISA 则建议用户采取相应防御措施，将漏洞的风险降至最低：

尽量减少所有控制系统设备和系统的网络暴露，并确保它们不能从 Internet 访问。

定位控制系统网络和防火墙后面的远程设备，并将它们与业务网络隔离。

如需远程访问，请使用虚拟专用网络 (VPN)等安全方法。不过也要意识到VPN可能存在漏洞，同样需要更新到可用的最新版本。

最后，所有企业在部署防御措施之前，最好都进行适当的影响分析和风险评估。

网络安全人才培养及网络安全队伍的建设仍是国内通讯行业安全发展的要务，国内近年来持续组织攻防演练及攻防竞赛，以战代训，以提升我国网络安全人才的整体实力。

在这场看不见硝烟的网络安全战场，我们网盾安全学院凭借扎实的技术功底、精准的面试攻略成为名副其实的名企offer收割机江湖更是盛传:网盾科技每10个学员必出一个腾讯员工。 每100个学员在学完课程之后平均能够拿到25到30个名企offer。