Ağırlama ortamlarında popüler bir cihaz olan, yaygın olarak kullanılan, Web bağlantılı Bosch BCC100 termostatında kritik bir güvenlik açığı keşfedildi.
Bu kusuru istismar etmek (CVE-2023-49722) yerel yetkisiz erişime yol açarak saldırganların kullanıcının ağına sızmasına olanak sağlayabilir.
Bir göre Bitdefender raporu Geçtiğimiz hafta, yazılım sürümleri 1.7.0 – HD Sürüm 4.13.22’yi etkileyen güvenlik açığı, cihazın Wi-Fi mikro denetleyicisinde bulunuyor ve potansiyel saldırganların kötü amaçlı komutlar yürütmesine olanak tanıyor.
Bir tehdit aktörü ayrıca cihazın işletim sistemi donanım yazılımını hileli bir yazılımla değiştirebilir veya cihazı “tuğlalayarak” başlatılmasını engelleyebilir ve tamamen çalışmaz hale getirebilir.
Termostat hala duvardayken kullanıcının sıcaklığı ve çalışma modlarını değiştirmesi mümkün olmayacaktır.
Bitdefender’ın tehdit araştırma ve raporlama direktörü Bogdan Botezatu şöyle açıklıyor: “Bu güvenlik açığı, ağdaki bir saldırganın termostata kendisini temizlemesi ve saldırganın talimatlarına göre bir işletim sistemi kurması talimatını vermesine olanak sağlaması bakımından benzersizdir.”
Çeşitli Olası Akıllı Termostat Saldırıları
Başka olası saldırılar da var. Örneğin bir bilgisayar korsanı, ağa dışarıdan bağlanabilmek ve cihazı ve HVAC komutlarını kontrol edebilmek için termostatın orijinal işletim sistemine bir arka kapı yerleştirebilir.
Ancak en kötü senaryoda, bir saldırgan orijinal donanım yazılımını kendi tercih ettiği bir Linux dağıtımıyla değiştirebilir ve bu yeni edinilen dayanağı ağdaki trafiği koklamak veya diğer cihazlara yönlendirmek için kullanabilir.
Bosch bir düzeltme yayınladı. Botezatu, saldırıları önlemek için ürün yazılımı güncellemelerinin çıktıkça yüklenmesi gerektiğini söylüyor; bu önemlidir; çünkü satıcılar, ürünlerindeki güvenlik açıklarını belirlemek ve düzeltmek için sürekli olarak güvenlik araştırmacılarıyla birlikte çalışır.
“Ek olarak, IoT teknolojisi kullanıcılarının cihazlarını halihazırda kullanımda olan özel veya misafir ağlardan izole edilmiş özel bir ağ üzerinde kurması son derece faydalı olacaktır” diyor.
Müşterilerin veya misafirlerin Nesnelerin İnterneti (IoT) ağını taramasına veya bu IoT cihazlarıyla herhangi bir şekilde etkileşime girmesine izin verilmemesi gerektiğini, zira potansiyel olarak savunmasız cihazları çökertmek için port taramaları ve bilinen açıklardan yararlanmaya çalışabileceklerini ekliyor.
Güvenlik Açıkları Ortaya Çıktıkça IoT Saldırıları Artıyor
Akıllı cihazlar arttıkça IoT saldırıları artıyor benimsenmenin arttığını görün ve üreticiler akıllı ürünleri pazara sunmaya odaklanıyor.
Aralıkta, onlarca yama Apple’ın popüler akıllı saatleri ve Apple TV’ler için piyasaya sürüldüğü, dünya çapında binlerce apartman ve ofiste kullanılan Hikvision interkomların ise casus yazılımlara karşı duyarlı.
Mart 2023’te araştırmacılar büyük bir keşifte bulundu. video özellikli akıllı interkomlardaki güvenlik açıkları Çinli şirket Akuvox tarafından yapılmış olup, ses ve video casusluğuna izin vermektedir.
“Akıllı cihazlar hızla son kullanıcılar için tek uygulanabilir seçenek haline geliyor [in certain ecosystems]Botezatu şöyle diyor: “Araştırmamız ve manzara raporlarımız, önemli bir akıllı cihaz havuzunun savunmasız olduğunu ve saldırıya uğramasının kolay olduğunu gösteriyor; çünkü birçok üretici için güvenli cihazlar, hızlı pazara girişte ikinci plandadır.”
Kendisi, bu nedenle hem AB’nin hem de ABD’nin bu yönde çağrıda bulunan düzenlemeleri geçirmek için çalıştığını söylüyor. İnternete bağlı cihazlar için siber güvenlik sertifikaları.
Botezatu, “Kullanıcılar, güvenli olmayan akıllı cihazların ele geçirilebileceği gerçek olasılıkların bulunduğunu ve siber suçluların yaygın olarak bulunan tarama araçları aracılığıyla bu cihazları bulmasının kolay olduğunu anlamalıdır” diye açıklıyor.
Cihazları bilinen ve bilinmeyen tehditlere karşı korumanın en iyi yolunun, yönlendirici veya ağ geçidi düzeyinde konuşlandırılan güvenlik çözümleri aracılığıyla olduğunu ekliyor.