.webp?w=696&resize=696,0&ssl=1 "İki yeni DOS saldırısı başlatmak için istismar edilen 4 milyon+ maruz kalan internete bağlı cihaz")
Araştırmacılar, temel İnternet tünelleme protokollerinin güvensiz uygulamasından kaynaklanan dünya çapında milyonlarca bilgisayar sunucusunu ve yönlendiriciyi etkileyen kritik güvenlik açıklarını ortaya çıkardılar.
Kusurlar, saldırganların güvenlik kontrollerini atlamasına, kimliklerini takmasına, özel ağlara erişmesine ve güçlü hizmet reddi saldırıları başlatmasına izin verebilir.
Keşif, Belçika’daki DiStreer-Ku Leuven Araştırma Grubundan güvenlik araştırmacıları Mathy Vanhoef ve Angelos Beitis tarafından yapıldı.
Araştırmaları, çekirdek İnternet yönlendiricileri, VPN sunucuları ve hatta konut yönlendiricileri de dahil olmak üzere 4,2 milyondan fazla internet ana bilgisayarının IPIP, GRE, 4IN6 ve 6IN4 gibi ortak tünel protokolleri üzerindeki kimlik doğrulanmamış trafiği kabul etmek için yanlış yapılandırıldığını ortaya koydu.
Bu protokoller modern ağ altyapısı için gereklidir, ancak doğal olarak kimlik doğrulamasını içermez, uygun şekilde sabitlenmezse sömürülebilen bir zayıflık.
Bu yaygın güvenlik açığı, daha önce tanımlanmış bir sorunun CVE-2020-10136’nın daha geniş bir tezahürü olarak kabul edilir. Temel sorun, bu savunmasız sistemlerin trafiği herhangi bir kaynaktan iletme için kandırılabilmesi ve bunları etkili bir şekilde saldırganların gerçek yerlerini gizlemelerine yardımcı olan tek yönlü vekillere dönüştürebilmesidir.
Önemli etki ve yeni saldırı yöntemleri
Bu güvenlik açıklarının sonuçları şiddetlidir. Saldırganlar, kaynak IP adreslerini parodi yapmak için kullanabilir ve kötü niyetli etkinlikleri izlemeyi zorlaştırır. Ayrıca bir kuruluşun dahili ağına yetkisiz giriş yapabilir veya diğer hedeflere saldırı başlatmak için tehlikeye atılan sistemi kullanabilirler.
Araştırma ayrıca bu zayıflıklardan yararlanan üç yeni saldırı türünü de ortaya çıkardı:
- Tünelli-temporal mercek (tutl): En az 16’lık bir trafik amplifikasyon faktörü elde eden trafiği zamanında yoğunlaştıran bir hizmet reddi (DOS) saldırısı.
- Ping-Pong Saldırısı: İki savunmasız sistem arasında paketlerin ilmekte olduğu daha güçlü bir DOS saldırısı, 75 kat veya daha fazla bir amplifikasyon faktörü ile sonuçlanır.
- Ekonomik Sürdürülebilirlik İnkar (EDO’lar): Üçüncü taraf bulut hizmetlerini kullanan kuruluşlar için önemli finansal maliyetlere yol açabilecek savunmasız bir sistemin giden bant genişliğini boşaltan bir saldırı.
Savunmasız ev sahipleri için küresel bir tarama, Çin, ABD, Fransa, Japonya ve Brezilya’da önemli maruziyetler buldu. SoftBank, China Mobile ve diğerleri de dahil olmak üzere büyük şirketlerin savunmasız altyapı olduğu bulundu.
Fransa’da tek bir internet sağlayıcısından binlerce ev yönlendiricisi etkilendi. Araştırmacılar, sistemlerin güvence altına alınabilmesi için ilgili tüm tarafları bilgilendirdiler.
Farklı protokollerde bu güvenlik açıklarını izlemek için birkaç yeni CVE tanımlayıcı atandı:
- CVE-2024-7595: GRE ve GRE6 protokollerini etkiler.
- CVE-2024-7596: Süresi dolmuş genel UDP kapsülleme (GUE) taslağı ile ilgilidir.
- CVE-2025-23018: IPv4-In-IPV6 ve IPV6-IPV6 protokollerini kapsar.
- CVE-2025-23019: IPv4-In-IPV4 protokolü ile ilgilidir.
Uzmanlar, kuruluşların bu saldırıları önlemek için ağ yapılandırmalarını gözden geçirmelerini önermektedir. Birincil savunma, sistemleri yalnızca tünel paketlerini güvenilir, beyaz listeli IP adreslerinden kabul edecek şekilde yapılandırmaktır.
Daha sağlam güvenlik için, ağ yöneticilerinin IPSEC gibi protokolleri uygulamaları istenir, bu da varsayılan olarak eksik olan gerekli kimlik doğrulama ve şifrelemeyi sağlıyor.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi