Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Bitdefender Popüler IoT Cihazında Güvenlik Açığı Buldu
Prajeet Nair (@prajeetspeaks), David Perera (@daveperera) •
15 Ocak 2024
Siber güvenlik firması Bitdefender araştırmacıları, Alman çokuluslu mühendislik şirketi Bosch tarafından dünya çapında satılan termostatların, bilgisayar korsanlarının ısıtma sistemine giden elektriği kesmesine ve aygıt yazılımını geçersiz kılmasına olanak tanıyan bir kusur içerdiği konusunda uyardı.
Ayrıca bakınız: OT-CERT: KOBİ’lerin Siber Güvenlik Risklerini Ele Almalarına Olanak Sağlıyoruz
Bitdefender, geçen yılın sonlarında yayınlanan bir donanım yazılımı güncellemesi almayan modellerin, bilgisayar korsanlarının cihazları tuğlalamasına veya orijinal donanım yazılımını değiştirmesine olanak tanıyan bir kusur içerdiği konusunda uyardı. Kusur CVE-2023-49722 olarak izleniyor.
Bosch, etkilenen modelin ev ısıtma, havalandırma ve iklimlendirme sistemleri için “hepsi bir arada kolay kontrol sunan şık, internet bağlantılı bir termostat” olduğunu öne sürüyor. Bitdefender tehdit araştırması direktörü Bogdan Botezatu, termostatların ev üzerindeki doğrudan etkileri nedeniyle nesnelerin interneti güvenlik araştırmalarının büyük bir yüzdesinin konusu olduğunu söyledi.
Information Security Media Group’a şunları söyledi: “IoT konusunda ilerleme kaydettikçe ve fiziksel güvenlik cihazlarında çipler yaygınlaştıkça ben de daha çok korkuyorum.” Bu özel kusur, yerel ağa erişim gerektiriyor ve yaygın olarak istismar edilmiş gibi görünmüyor. Ancak ev sahipleri, IoT cihazlarının kendilerine karşı döndüğünü fark etti; 2019’da ısıyı 90 dereceye kadar çıkaran bir bilgisayar korsanıyla karşılaşan Milwaukee’li evli çift de dahil.
Botezatu, “Suçlular insanların evlerinde yaygın olarak bulunan cihazları arıyor” dedi.
Bir Bosch sözcüsü, ISMG’ye şirketin Bitdefender’ın araştırmasına hızla tepki verdiğini ve 12 Ekim’de bir cihaz yazılımı güncellemesi yayınladığını söyledi. Kuzey Amerika kurumsal iletişim direktörü Tim Wieland, “Uzmanlarımız sürekli olarak tehditleri izliyor ve hızlı karşı önlemler uyguluyor” dedi.
Botezatu, her IoT cihazının bu kapasiteye sahip olmaması nedeniyle Bosch müşterilerinin cihazlarının kablosuz güncellemeler alabildiği için şanslı olduğunu söyledi. Bir donanım yazılımı güncellemesine normalde tepki veren tüketicilerin sayısı “son derece hayal kırıklığı yaratıyor.”
Botezatu ayrıca evine kişisel olarak kurmak istediği akıllı cihazların sınırını çizdiğini söyledi. “Akıllı kilit veya akıllı duman sensörü takmaya cesaret edemem” dedi. Ancak internetten ayrılmış akıllı bir termostatı olduğunu da sözlerine ekledi.
Kusur, Bosch termostatına yerleştirilmiş Wi-Fi çipinden kaynaklanıyordu. 8899 numaralı bağlantı noktasındaki mesajları dinledi ve bunları doğrudan ana mikro denetleyiciye yansıttı. Ana çipin bir mesajın iyi huylu mu yoksa kötü niyetli mi olduğunu söylemesinin hiçbir yolu yoktu; yalnızca doğru biçimlendirmeyi aradı. Bitdefender Perşembe günkü bir blog yazısında “Bu, bir saldırganın cihaza kötü amaçlı bir güncelleme yazmak da dahil olmak üzere termostata komutlar göndermesine olanak tanıyor.” diye yazdı.
Araştırmacılar, aygıt yazılımı güncellemesi için cihazın bulutla iletişime geçmesini isteyebildiler ve cihaz, kötü amaçlı bir güncelleme içeren bir URL ile yanıt verdi. Bitdefender, “Firmware güncellemesinin orijinalliği için herhangi bir doğrulama mekanizması yok” diye yazdı. Sahte donanım yazılımı güncellemesine işaret eden URL, MD5 sağlama toplamı ve geçerli donanım yazılımı numarasından daha yüksek bir sürüm numarası gibi belirli spesifikasyonlara uyduğu sürece cihaz güncellemeyi kabul ediyordu. URL internetten erişilebilen bir sunucuya işaret etmelidir.
Botezatu, Bitdefender’ın daha fazla IoT cihazını analiz ettiğini söyledi. “Bazıları gerçekten çok iyi” dedi. “Bazıları gerçekten çok kötü.”