Amazon Cloud Cam kusuru, saldırganların ağ trafiğini kesmesine ve değiştirmesine izin verir


Aralık 2022’de Yaşam Sonu (EOL) statüsüne ulaşan Amazon Cloud CAM cihazlarında kritik bir güvenlik açığı (CVE-2025-6031) tanımlanmıştır.

Kusur, saldırganların cihaz eşleştirme sırasında SSL sabitlemesini atlamasına izin vererek ortadaki insan (MITM) saldırılarını ve ağ trafik manipülasyonunu sağlıyor.

Teknik analiz

SSL sabitleme bypass mekanizması

– Reklamcılık –
Google Haberleri

Bulut Cam’ın kullanımdan kaldırılan hizmet altyapısı, cihazı başlangıçta güvensiz bir eşleştirme moduna zorlar.

Bu durum, yetkisiz kullanıcıların aşağıdakilere izin vermesine izin verir:

  • Sertifika doğrulama kontrollerini atlatın
  • Saldırgan kontrollü ağlara cihaz iletişimini yeniden yönlendirin
  • Meyveden çıkarılmış SSL/TLS el sıkışmasıyla HTTPS trafiğini şifresini çözün/değiştirin
java// Simplified example of vulnerable SSL pinning implementation  
public void checkCertificate(X509Certificate cert) {  
    if (isEOLDevice) {  
        return; // Bypasses pinning validation in EOL state  
    }  
    // Original pinning logic would compare cert hash here  
}  

Saldırı yüzeyi

Güvenli uygulama Savunmasız bulut kamerası
Zorunlu sertifika sabitleme Varsayılan ilk güven moduna geçer
Sürekli Hizmet Güncellemeleri Kullanımdan kaldırılmış altyapı
Aktif Güvenlik Açığı Yaması Güvenlik Bakımı Yok

Etki Değerlendirmesi

Güvenlik açığı (CVSS v3.1: 7.5):

  1. Kimlik bilgisi hasat: Cihaz sunucusu iletişimi sırasında AWS iam anahtarlarının müdahalesi
  2. Cihaz Sahipliği: Trafik Değiştirme yoluyla sahte ürün yazılımı güncellemeleri
  3. Ağ uzlaşması: Bağlı IoT ekosistemlerine yanal hareket

Azaltma stratejileri

Amazon, EOL ürünü için herhangi bir yama serbest bırakılmayacağından, hemen cihaz emekliliğini önerir.

Geçici süreklilik gerektiren kuruluşlar için:

bash# Network-level containment for remaining devices  
iptables -A FORWARD -p tcp --dport 443 -d cloudcam.amazon.com -j DROP  

Güvenlik ekipleri:

  • Olağandışı TLS müzakere kalıpları için paket yakalama analizi yapın
  • Yetkisiz Ağ Geçidi değişiklikleri için ARP tablolarını izleyin
  • Tüm IoT cihazları için sertifika şeffaflık günlüğü uygulayın

Daha geniş sonuçlar

Bu güvenlik açığı şu durumlarda kritik riskleri vurgular:

  • Eski IoT yönetimi: İşletmelerin% 23’ü hala desteklenmeyen akıllı cihazlar kullanıyor6
  • SSL sabitleme uygulamaları: IoT uygulamalarının% 41’i sertifika iptal kontrolleri yok
  • Tedarik Zinciri Güvenliği: Paylaşılan Bulut Altyapısı Cascade Güvenlikleri Oluşturur

Etik Açıklama Zaman Çizelgesi

  • 2025-06-05: Güvenlik Açığı AWS güvenlik yoluyla bildirildi
  • 2025-06-12: CVE yayınlandı, Danışma

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link