Siber güvenlik araştırmacıları, Cinterion hücresel modemlerinde, tehdit aktörleri tarafından hassas bilgilere erişmek ve kod yürütmek amacıyla kullanılabilecek çok sayıda güvenlik açığını ortaya çıkardı.
Kaspersky, “Bu güvenlik açıkları, uzaktan kod yürütülmesine ve izinsiz ayrıcalık artışına izin veren, endüstriyel, sağlık, otomotiv, finans ve telekomünikasyon sektörlerinin temelini oluşturan entegre iletişim ağları ve IoT cihazları için önemli riskler oluşturan kritik kusurları içeriyor” dedi.
Cinterion modemleri, Temmuz 2022’de açıklanan bir anlaşma kapsamında işletme Telit tarafından Thales’ten satın alınmadan önce ilk olarak Gemalto tarafından geliştirildi.
Bulgular 11 Mayıs’ta Berlin’de düzenlenen OffensiveCon’da sunuldu. Sekiz kusurun listesi şu şekilde:
- CVE-2023-47610 (CVSS puanı: 8.1) – Kimliği doğrulanmamış uzaktaki bir saldırganın, özel hazırlanmış bir SMS mesajı göndererek hedeflenen sistemde rastgele kod çalıştırmasına olanak tanıyan bir arabellek taşması güvenlik açığı.
- CVE-2023-47611 (CVSS puanı: 7,8) – Yerel, düşük ayrıcalıklı bir saldırganın, hedeflenen sistemdeki ayrıcalıkları üretici düzeyine yükseltmesine olanak verebilecek uygunsuz bir ayrıcalık yönetimi güvenlik açığı.
- CVE-2023-47612 (CVSS puanı: 6.8) – Hedef sisteme fiziksel erişimi olan bir saldırganın, gizli dosyalar ve dizinler de dahil olmak üzere hedeflenen sistemdeki tüm dosya ve dizinlere okuma/yazma erişimi elde etmesine olanak tanıyan, harici tarafların erişebildiği dosya veya dizinler güvenlik açığı.
- CVE-2023-47613 (CVSS puanı: 4,4) – Yerel, düşük ayrıcalıklı bir saldırganın sanal dizinlerden kaçmasına ve hedeflenen sistemdeki korumalı dosyalara okuma/yazma erişimi sağlamasına olanak tanıyan göreceli bir yol geçiş güvenlik açığı.
- CVE-2023-47614 (CVSS puanı: 3,3) – Yerel, düşük ayrıcalıklı bir saldırganın hedeflenen sistemdeki gizli sanal yolları ve dosya adlarını açığa çıkarmasına olanak verebilecek hassas bilgilerin açığa çıkması.
- CVE-2023-47615 (CVSS puanı: 3,3) – Yerel, düşük ayrıcalıklı bir saldırganın hedeflenen sisteme yetkisiz erişim elde etmesine izin verebilecek çevresel değişkenler güvenlik açığı yoluyla hassas bilgilerin açığa çıkması.
- CVE-2023-47616 (CVSS puanı: 2,4) – Hedef sisteme fiziksel erişimi olan bir saldırganın, hedeflenen sistemdeki hassas verilere erişmesine olanak verebilecek hassas bilgi güvenlik açığının açığa çıkması.
Zayıflıkların en ciddisi, modemdeki bir yığın taşması güvenlik açığı olan ve uzaktaki saldırganların SMS mesajları yoluyla rastgele kod yürütmesine olanak tanıyan CVE-2023-47610’dur.
Ayrıca erişim, RAM ve flash belleği manipüle etmek için silah haline getirilebilir, böylece saldırganların, kimlik doğrulama veya fiziksel erişim gerektirmeden modem üzerinde daha fazla kontrol sahibi olmalarına olanak sağlanır.
Kalan güvenlik açıkları, modemlerde çalışan Java tabanlı uygulamalara atıfta bulunan MIDlet’lerin işlenmesindeki güvenlik açıklarından kaynaklanmaktadır. Dijital imza kontrollerini atlamak ve yükseltilmiş ayrıcalıklarla yetkisiz kod yürütülmesine izin vermek için kötüye kullanılabilirler.
Güvenlik araştırmacıları Sergey Anufrienko ve Alexander Kozlov, Kaspersky ICS CERT tarafından 8 Kasım 2023’te yayınlanan bir dizi öneride resmi olarak ortaya çıkan kusurları keşfedip rapor etme konusunda itibar kazandılar.
Kaspersky ICS CERT başkanı Evgeny Goncharov, “Modemler genellikle diğer çözümlere matryoshka tarzında entegre edildiğinden ve bir satıcının ürünleri diğerinin üzerine yığıldığından, etkilenen son ürünlerin bir listesini derlemek zor oluyor” dedi.
Potansiyel tehditleri azaltmak için kuruluşların gerekli olmayan SMS mesajlaşma özelliklerini devre dışı bırakması, özel Erişim Noktası Adları (APN’ler) kullanması, cihazlara fiziksel erişimi kontrol etmesi ve düzenli güvenlik denetimleri ve güncellemeleri yapması önerilir.
Hacker News, kusurlar hakkında daha fazla bilgi almak için Telit’e ulaştı ve geri bildirim aldığımızda hikayeyi güncelleyeceğiz.