Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Araştırmacılar Üç Güvenlik Açıkını Ortaya Çıkardı, Firmware Güncellemesini İstiyor
Prajeet Nair (@prajeetspeaks) •
20 Ocak 2025
Saldırganlar, otomasyon sistemlerini, IoT cihazlarını ve gözetim ağlarını tehlikeye atmak için uzaktan kontrol elde etmek amacıyla endüstriyel ağ anahtarlarındaki kritik güvenlik açıklarını zincirleyebilir.
Ayrıca bakınız: MDR Yönetici Raporu
Claroty’nin Ekibi82, Planet Technology tarafından üretilen ve genellikle bina ve ev otomasyon ağlarında kullanılan WGS-804HPT anahtarlarındaki üç kusuru ortaya çıkardı. Bu cihazlar, IoT sistemleri, IP güvenlik kameraları ve kablosuz LAN uygulamaları için bağlantıyı kolaylaştırır ve web tabanlı bir yönetim arayüzü ve SNMP desteği ile donatılmıştır. Kusurlardan yararlanmak, saldırganların keyfi komutlar yürütmesine, operasyonları aksatmasına veya hassas ağlara yetkisiz erişim elde etmesine olanak tanıyabilir.
Claroty, sorunları yamalı bir ürün yazılımı güncellemesi yayınlayan Planet Technology’ye bildirdi.
Team82, anahtarın MIPS 32 bit mimarisini kopyalayarak kontrollü bir ortamın ürün yazılımını incelemesini sağladı ve genellikle saldırganlar için bir giriş noktası olan yerleşik web sunucusunu inceledi.
Araştırmacılar kritik güvenlik açıkları buldu dispatcher.cgi anahtarların web yönetim arayüzünün bileşeni. Kötü amaçlı HTTP istekleri yoluyla yararlanılabilen bu kusurlar, saldırganların kimlik doğrulama olmadan cihazların güvenliğini aşmasına olanak tanıyabilir.
CVE-2024-48871 olarak takip edilen sorunlardan biri, CVSS puanı 9,8 olan yığın tabanlı arabellek taşması. Uzaktan kod yürütülmesine olanak tanıyarak saldırganların cihaz üzerinde yetkisiz kontrolünü sağlar. CVE-2024-52320 olarak takip edilen ve CVSS puanı 9,8 olan ikinci kusur, kimliği doğrulanmamış saldırganların rastgele komutlar yürütmesine olanak tanıyan bir işletim sistemi komut ekleme güvenlik açığını içeriyor. CVE-2024-52558 olarak takip edilen ve CVSS puanı 5,3 olan üçüncü bir güvenlik açığı, hatalı biçimlendirilmiş HTTP isteklerini kullanarak cihazı çökertebilen ve hizmet kesintilerine yol açabilen bir tamsayı yetersiz akış kusurudur. Bu bulgular, kritik otomasyon ağlarındaki yama yapılmamış cihazlarla ilişkili önemli risklerin altını çiziyor.
CGI betiği, anahtarın web arayüzüne gönderilen HTTP isteklerini işlemek için merkezi bir dağıtıcı görevi görür ve bu da onu cihazın yönetim işlevselliğinin önemli bir parçası haline getirir.
Araştırmacılar, komut dosyasının, özel hazırlanmış yüklerin kimlik doğrulama kontrollerini atlamasına izin veren uygun giriş doğrulama mekanizmalarından yoksun olduğunu buldu.
En ciddi güvenlik açıklarından biri dispatcher.cgi URL parametrelerinin yanlış işlenmesinden kaynaklanır. Saldırganlar, belirli parametrelere kötü amaçlı girdi enjekte ederek bir komut ekleme kusurundan yararlanabilir ve kök ayrıcalıklarıyla rastgele sistem komutları yürütmelerine olanak sağlayabilir.
Anahtar ayrıca, kullanıcı tarafından sağlanan verilerin yetersiz şekilde sterilize edilmesi nedeniyle yansıtılan siteler arası komut dosyası çalıştırma saldırısına karşı da savunmasızdı. Bu, saldırganların web arayüzüne kötü amaçlı JavaScript kodu yerleştirmesine ve kimliği doğrulanmış yöneticilerin oturumlarının tehlikeye girmesine olanak tanıyabilir.