.jpg)
Geçen Aralık ayında araştırmacılar, Huawei, Qualcomm, Nvidia, AMD, Dell ve HP gibi bir düzineden fazla büyük satıcı tarafından işletilen sunucuları etkileyen beş güvenlik açığı keşfetti. 5,3 (Orta önem) ile 9,8 (Kritik) arasında değişen CVSS puanlarıyla güvenlik açıkları da küçümsenecek bir şey değildi.
Hatalar, American Megatrends International (AMI) tarafından temel kart yönetim denetleyicileri (BMC’ler) olarak bilinen işlemciler için geliştirilen ürün yazılımında yaşıyor. BMC’ler, ana kartlar üzerine oturan ve yöneticilerin bir makinedeki her şeyi (uygulamalar ve verilerden düşük seviyeli donanıma kadar) Internet bağlantısı olmadan veya ana bilgisayar kapalıyken bile izlemesine ve manipüle etmesine olanak tanıyan çiplerdir. güç alıyor).
İfşanın arkasındaki firma Eclypsium’un tehdit araştırma ve istihbarat direktörü Nate Warfield, “Yani burası, saldırganlar için gerçekten ilginç bir yer,” diyor. “Her zaman çalışan bu mini bilgisayara girebilirlerse, artık istedikleri her şey üzerinde uzaktan yönetici erişimine sahip olurlar.”
Ancak bu keşif, çok daha büyük bir sorunun yüzeyinde yalnızca bir noktaydı. 11 Mayıs’ta Black Hat Asia’daki bir sunumda, Eclypsium’da güvenlik araştırmacısı olan Warfield ve Vlad Babkin, AMI’nin BMC hatalarının aygıt yazılımı güvenliğinde daha büyük ve yapısal olarak daha sorunlu bir şeyin kanıtı olduğunu tartışacaklar.
Babkin, tartışmasız bir şekilde, “Mesaj kesinlikle güvenlik açıklarının kendisi değil,” diyor. “Çok, çok daha derin. Çünkü devam edip bu güvenlik açıklarını düzeltsek bile, bu temel sorunu çözmeyecek.”
Ürün Yazılımındaki Risk
Kuruluşlar denenmiş ve doğrulanmış taktikler, teknikler ve prosedürler konusunda kendilerini güçlendirdiklerinde, saldırganlar gitmek istedikleri yere ulaşmak için yeni yollara ihtiyaç duyarlar.
Warfield, “Tüm bu uç nokta algılama ve yanıt (EDR) ürünleri — mükemmel değiller ama insanları yavaşlatıyorlar” diyor. “Ve bu ve geliştirilmekte olan diğer tüm savunmalar nedeniyle, saldırganların bu tür şeylerden bir şekilde kaçmaya başlayabilecekleri bir yer bulmaları gerekiyor.”
Warfield ve Babkin, aygıt yazılımının gidecekleri yeni yer olabileceğini düşünüyor.
“10 veya 15 yıl öncesine bakarsak,” diye devam ediyor Warfield, “donanım yazılımı düzeyinde gerçekten saldırabilen tek grup sizin ulus devletlerinizdi – Ruslarınız, NSA’nız – bilirsiniz, gerçekten iyi finanse edilen kuruluşlar. Ama şimdi çok daha kolay hale geliyor. Ürün yazılımına girmenize yardımcı olan araçların çoğalması var.” Ve bir sabit yazılım ihlalinin sağladığı güç, genellikle tipik yazılım tabanlı araçlarla elde edilebilecek olandan çok daha fazladır.
Babkin, “Şöyle söyleyelim,” diye düşünür. “Bellenim A) özel, ayrıcalıklı bir bileşendir — çok önemlidir ve ne olduğu ve ne yaptığı nedeniyle onu elinizden alamazsınız; B) bu gri bir alandır, çünkü pek çok güvenlik ürünü ve aracı aslında bunu yapamaz. incelemek; ve C) sömürülebilir.”
En hafif tabirle istismar edilebilir. Bir makinenin iç kısımlarında aygıt yazılımı, bir bilgisayar korsanının bulabileceği en ayrıcalıklı yerlerden biridir. Warfield, “Bir fidye yazılımı grubuysanız ve BMC gibi bir şeye bulaşabilirseniz, tüm ağa fidye yazılımı uygulayabilirsiniz,” diyor Warfield, pek çok senaryo arasından yalnızca biri. “Fidyeyi ödememeye, sabit diskleri çıkarmaya, her şeyi yeniden biçimlendirmeye ve yeniden yüklemeye karar verseler bile – onların BMC’sindeyseniz, geri gelip tekrar yapabilirsiniz. Değil mi? çünkü senin nerede olduğunu gerçekten bilmiyorlar.”
Ürün yazılımı yeni sınırsa, kuruluşların bu kullanılmayan güvenlik düzlemine daha fazla zaman, enerji ve kaynak ayırması gerekecektir. Ama bu konuşmayı yapmaya bile hazır mıyız?
Bilmediklerinizi Güvenceye Alabilir misiniz?
Babkin, bellenim güvenliği için kolay ipuçlarını ve püf noktalarını sıralamaktan çekiniyor. “Dürüst olmak gerekirse,” diyor, “teknik düzeyde verebileceğim bir tavsiye var, ama gerçekte bundan daha fazlası.”
O ve Warfield’ın anladığı gibi, bugün aygıt yazılımında görünürlükle ilgili temel bir sorun var ve bu, güvenliğin önüne geçiyor. Babkin, “Yani, araştırmamızdaki en büyük sorunlardan biri tam olarak neyin çalıştığını bulmaya çalışmaktı,” diye yakınıyor. Aksi takdirde, ürün yazılımı güvenliğini ele almak isteyebilecek şirketler, tam olarak hangi ürün yazılımını çalıştırdıklarını ve tüm bunların nereden geldiğini anlamakta zorlanabilirler.
Açıklamaya yardımcı olmak için Warfield, zehirli NPM paketleriyle bir paralellik kurar. Kötü açık kaynak paketleri, hem çok geniş bir alana yayıldıkları için hem de şirketler genellikle yükledikleri tüm yazılımları gerçekten bilmedikleri için bir tedarik zinciri kabusuna neden olur.
Warfield, “AMI bu BMC’yi bir kitaplık olarak satıyor” diye belirtiyor. “Dolayısıyla, Dell’den bir sunucunuz olabilir ve BMC kodunuzun AMI’den olduğunu gerçekten bilmiyor olabilirsiniz. Bu, her şeyin daha uzun sürmesine neden olur, çünkü AMI düzeltmeleri OEM’lere satmak zorundadır, OEM’ler bunu paketlemek zorundadır ve o zaman yüklemeniz gerekir.”
Ve böylece, daha fazla saldırgan aygıt yazılımı trenine atlamaya başlarsa, onları durdurmak için iyi bir siber hijyenden daha fazlası gerekir. Warfield’ın dediği gibi, “Bu, ‘Salı Yaması’ gibi hızlı bir şey değil.”