Söz konusu keşif, uzaktan yetkisiz bir saldırganın istediği kodları çalıştırmasına imkan tanıyan ve milyonlarca endüstriyel aygıt için büyük bir tehdit oluşturan açıkları gözler önüne seriyor. Kaspersky uzmanları, 11 Mayıs’ta Berlin’de düzenlenen OffensiveCon’da keşfedilen güvenlik açıklarıyla ilgili detayları sundu.
Kaspersky ICS CERT, milyonlarca aygıtta yaygın olarak kullanılan ve global ilişki altyapısında hayati kıymet taşıyan Cinterion hücresel modemlerde önemli güvenlik açıkları tespit etti. Keşfedilen güvenlik açıkları, uzaktan kod çalıştırmaya ve yetkisiz ayrıcalık yükseltmeye müsaade veren kıymetli kusurlar içeriyor ve endüstriyel, sıhhat, otomotiv, finans ve telekomünikasyon dallarının temelini oluşturan entegre bağlantı ağları ve IoT aygıtları için büyük risk oluşturuyor.
Tespit edilen güvenlik açıkları ortasında en telaş verici olanı, modemin SUPL ileti işleyicilerindeki bir yığın taşması güvenlik açığı olan CVE-2023-47610 olarak açıklandı. Bu açık, uzaktan saldırganların SMS yoluyla istedikleri kodu çalıştırmasına imkan tanıyarak modemin işletim sistemine gibisi görülmemiş ölçüde erişim sağlıyor. Bu erişim birebir vakitte RAM ve flash belleğin manipülasyonunu da kolaylaştırarak modemin fonksiyonları üzerinde tam denetim sağlama potansiyelini artırıyor. Üstelik bunların tümü kimlik doğrulama ya da aygıta fizikî erişim gerektirmeden gerçekleştirilebiliyor.
Yapılan ayrıntılı incelemeler, modemlerde çalışan Java tabanlı uygulamalar olan MIDlet’lerin işlenmesinde kıymetli güvenlik açıkları bulunduğunu ortaya çıkardı. Saldırganlar dijital imza denetimlerini atlatarak bu uygulamaların bütünlüğünü tehlikeye atabiliyor ve yüksek ayrıcalıklarla yetkisiz kod yürütülmesini sağlayabiliyor. Bulunan açık yalnızca data saklılığı ve bütünlüğü için değil, tıpkı vakitte daha geniş ağ güvenliği ve aygıt bütünlüğü için de kıymetli riskler oluşturuyor.
Kaspersky ICS CERT Başkanı Evgeny Goncharov, bulunan açıkları şöyle yorumladı: “Bulduğumuz güvenlik açıkları, bu aygıtların çeşitli bölümlerde yaygın olarak kullanıldığı göz önüne alındığında, kapsamlı global bozulma potansiyelini ortaya koyuyor. Mümkün aksaklıklar ekonomik ve operasyonel tesirlerden güvenlik meselelerine kadar uzanıyor. Modemler tipik olarak matruşka üslubunda öbür tahlillere entegre edildiğinden ve bir satıcının eserleri diğerininkilerin üzerine yerleştirildiğinden, etkilenen son eserlerin bir listesini derlemek sıkıntı. Etkilenen satıcılar riskleri yönetmek için kapsamlı efor sarf etmek zorunda ve bu risklerin azaltılması da ekseriyetle sadece telekom operatörleri tarafından gerçekleştirilebilir. Derinlemesine analizimizin paydaşların acil güvenlik tedbirlerini devreye almasına yardımcı olacağını ve gelecekteki siber güvenlik araştırmaları için kıymetli bir referans noktası oluşturacağını umuyoruz.”
Kaspersky, CVE-2023-47610 güvenlik açığının oluşturduğu tehdide karşı koymak için tek bir muteber tahlil öneriyor: Gerekli olmayan SMS iletileşme özelliklerini devre dışı bırakmak ve sıkı güvenlik ayarlarına sahip özel APN’ler kullanmak. CVE-2023-47611 ile CVE-2023-47616 arasında kayıtlı öteki sıfır gün güvenlik açıklarıyla ilgili olarak Kaspersky, MIDlet’ler için sıkı dijital imza doğrulaması uygulanmasını, aygıtlara fizikî erişimin denetim edilmesini ve tertipli güvenlik kontrolleri ve güncellemeleri yapılmasını tavsiye ediyor.
Yapılan keşiflerin devamında, tüm bulgular kamuya açıklanmadan evvel proaktif olarak üretici ile paylaşıldı. Gemalto tarafından geliştirilen Cinterion modemler, makineden makineye (M2M) ve IoT irtibatlarında köşe taşı niteliğinde bileşenler olup, endüstriyel otomasyon ve araç telematiklerinden akıllı ölçüm ve sıhhat hizmetlerinin izlenmesine kadar geniş bir uygulama yelpazesini destekliyor. Birinci geliştirici olan Gemalto daha sonra Thales tarafından satın alınmıştı. Akabinde 2023 yılında Telit, Cinterion modemleri de dahil olmak üzere Thales’in hücresel IoT eserleri işini satın aldı.
Kaspersky uzmanları, IoT aygıtlarına bağlı sistemleri müdafaanız için şunları öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
GÜNDEM
21 Kasım 2024SPOR
21 Kasım 2024GÜNDEM
21 Kasım 2024SPOR
21 Kasım 2024SPOR
21 Kasım 2024GÜNDEM
21 Kasım 2024GÜNDEM
21 Kasım 2024Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.