Twee dagen terug maakte Nozomi Networks bekend dat er een serieus security probleem is met de camera software van Throughtek. De melding heeft inmiddels geleid tot een waarschuwing van de Amerikaanse cybersecurity agency CISA. Punt is alleen dat bijna niemand ooit gehoord heeft van Throughtek.
Supply Chain incident
Wat Nozomi doet is waarschuwen voor een typisch supply chain incident. Throughtek levert namelijk software als OEM. Een groot, maar onbekend, aantal fabrikanten van video camera’s maakt gebruikt van deze software. Het is de basis om bepaalde features te kunnen gebruiken.
Throughtek is daarom te beschouwen als een onderdeel van het hele software pakket. De bug die er inzit zorgt ervoor dat er bij veel bedrijven werk aan de winkel is. Het is niet zo dat de (eind) gebruiker bij Throughtek een driver update kan downloaden en daarmee het lek dan dichten. Dit maakt het type bug dus heel vervelend en mogelijk lastig echt voor alle devices te dichten.
Communicatie
Tot woensdagmiddag Nederlandse tijd was er geen melding over de bug te vinden op de site van de software maker. Nozomi meldt het wel. CISA doet dat ook en voorziet het van een VCSS score van 9.1 op een schaal van 10. Dat is dus “critical”. Buiten een paar techblogs en fora is er nog weinig over te vinden. Online is wel te vinden dat Throughtek sub-contractors beschuldigt van het gebruik van te oude software. De communicatie over deze bug is wat dat betreft kenmerkend voor supply chain incidenten. Iedereen wijst naar elkaar en de keten wordt steeds langer.
Het advies van Nozomi is in ieder geval de P2P functionaliteit tot nader bericht uit te zetten, tenzij men zeker weet dat de camera geen Throughtek software gebruikt. Dat minimaliseert de kans op het “afvangen” van de stream. Daarmee wordt concreet een datalek voorkomen en erger.