Güvenlik araştırmacıları, yaygın olarak kullanılan bir endüstriyel uzaktan erişim ağ geçidi aracı olan Ewon Cosy+’da kök erişimi elde etmelerine ve cihazın güvenliğini tehlikeye atmalarına olanak tanıyan ciddi güvenlik açıkları ortaya çıkardı. DEF CON 32’de sunulan bulgular, endüstriyel altyapı ve uzaktan erişim sistemleri için önemli riskleri vurguluyor.
HMS Networks tarafından geliştirilen Ewon Cosy+, VPN bağlantıları aracılığıyla endüstriyel sistemlere güvenli uzaktan erişim sağlamak için tasarlanmıştır. Ancak SySS GmbH’den araştırmacılar, güvenlik vaatlerini baltalayan birden fazla kritik kusur keşfettiler.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Belirlenen temel güvenlik açıkları şunlardır:
- İşletim Sistemi Komut Enjeksiyonu (CVE-2024-33896): Araştırmacılar, kullanıcı tarafından sağlanan OpenVPN yapılandırmalarındaki filtreleri aşmanın ve keyfi komut yürütülmesine izin vermenin bir yolunu buldular.
- Güvenli Olmayan İzinler (CVE-2024-33894): 21.x ve 21.2s10’un altındaki veya 22.x ve 22.1s3’ün altındaki aygıt yazılımı sürümlerini çalıştıran cihazları etkiler.
- Sertifika İsteği Güvenlik Açığı (CVE-2024-33897): Tehlikeye atılmış bir Cosy+ cihazı, yetkisiz cihazlar için sertifika istemek amacıyla kullanılabilir ve bu da potansiyel olarak VPN oturumunun ele geçirilmesine yol açabilir.
Ewon Cosy+ cihazına kök erişimi elde etmek için kullanılan istismar zinciri, bir işletim sistemi komut enjeksiyonu güvenlik açığından (CVE-2024-33896) yararlanan bir dizi adımı içeriyordu. Araştırmacılar, ilk olarak cihazın OpenVPN yapılandırma işlevselliğinde, parametrelere iki tire (–) ekleyerek bir filtre atlama keşfettiler.
Daha sonra, keyfi kabuk komutlarını yürütmek için “–up” parametresini ve kullanıcı tanımlı betiklere izin vermek için “script-security 2”yi içeren kötü amaçlı bir OpenVPN yapılandırma dosyası oluşturdular. Bu yapılandırma Cosy+ cihazına yüklendi.
VPN bağlantısı kurulduğunda, cihaz belirtilen komutu (bu durumda “id”) kök olarak yürüttü, komutun başarılı bir şekilde yürütüldüğünü doğruladı ve araştırmacılara kök erişimi verdi.
Bu yükseltilmiş ayrıcalıkla, cihazı daha fazla istismar edebildiler, şifrelenmiş aygıt yazılımı dosyalarını şifresini çözebildiler, yapılandırma dosyalarındaki parolalar da dahil olmak üzere hassas verilere erişebildiler ve yetkisiz cihazlar için doğru şekilde imzalanmış X.509 VPN sertifikaları elde edebildiler.
Bu istismar zinciri, görünüşte basit bir yapılandırma dosyası yükleme özelliğinin, yetersiz giriş doğrulamasıyla bir araya geldiğinde, endüstriyel uzaktan erişim ağ geçidinin tamamen tehlikeye girmesine yol açabileceğini göstermiştir.
Araştırmacılar, kök erişimiyle birlikte ek güvenlik sorunlarını da ortaya çıkardı:
- Şifrelenmiş aygıt yazılımı dosyalarını şifresini çözme yeteneği
- Yapılandırma dosyalarındaki parolalar dahil olmak üzere şifrelenmiş verilere erişim
- Yabancı cihazlar için doğru imzalanmış X.509 VPN sertifikalarının edinilmesi
Bu bulgular, Cosy+ cihazlarına dayanan endüstriyel ağların güvenliği için ciddi sonuçlar doğurmaktadır. Saldırganlar VPN oturumlarını ele geçirerek hassas endüstriyel sistemlere ve verilere yetkisiz erişim sağlayabilir.
HMS Networks, tespit edilen güvenlik açıklarını gidermek için aygıt yazılımı güncellemeleri yayınlayarak bu keşiflere yanıt verdi. Kullanıcılara Cosy+ cihazlarını en son aygıt yazılımı sürümlerine güncellemeleri şiddetle tavsiye edilir:
- 21.x aygıt yazılımı için 21.2s10 veya üzeri
- 22.x aygıt yazılımı için 22.1s3 veya üzeri
Bu bulgular ışığında, Ewon Cosy+ veya benzeri uzaktan erişim çözümlerini kullanan endüstriyel kuruluşlar riskleri azaltmak için derhal harekete geçmelidir:
- Cihaz donanım yazılımını en son güvenli sürümlere güncelleyin
- Güçlü ağ segmentasyonu ve erişim kontrolleri uygulayın
- Uzaktan erişim faaliyetlerini düzenli olarak denetleyin ve izleyin
- Çok faktörlü kimlik doğrulama gibi ek güvenlik katmanlarını göz önünde bulundurun
Bu araştırma, endüstriyel uzaktan erişim araçları için kapsamlı güvenlik değerlendirmelerinin kritik önemini vurgulamaktadır, çünkü bu sistemlerdeki güvenlik açıkları kritik altyapı ve endüstriyel operasyonlar için geniş kapsamlı sonuçlar doğurabilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access