Carnegie Mellon Üniversitesi’ndeki CERT Koordinasyon Merkezi (CERT/CC), Microchip Gelişmiş Yazılım Çerçevesi’ndeki (ASF) bir güvenlik açığı hakkında uyarı yayınladı. CVE-2024-7490 olarak izlenen bu Microchip güvenlik açığı, ASF içindeki tinydhcp sunucu uygulamasıyla bağlantılı bir yığın tabanlı taşma sorunudur. Sonuç olarak, Microchip yazılımındaki bu güvenlik açığı, saldırganların uzaktan kod yürütmesine izin vererek Microchip teknolojisinin geliştiricileri ve kullanıcıları için alarmlar çalabilir.
Mikroçip Güvenlik Açığını Anlamak
Microchip güvenlik açığı, ASF’nin DHCP uygulamasında yetersiz giriş doğrulamasından kaynaklanmaktadır. Özel olarak hazırlanmış bir DHCP isteği gönderildiğinde, yığın tabanlı bir taşma için olgunlaşmış koşullara yol açabilir ve potansiyel uzaktan kod yürütme için kapıyı açabilir. CERT/CC, sorunu özellikle endişe verici olarak tanımladı çünkü küresel olarak çok sayıda cihaz ve uygulamada yaygın olan IoT merkezli kodda yer alıyor.
CERT/CC, “Bu güvenlik açığı, çoklu yayın adresine tek bir DHCP İstek paketi gönderilerek test edilebilir” şeklinde açıklama yaptı. Bu istismarın basitliği durumu daha da endişe verici hale getiriyor çünkü saldırganların bu kusurdan nispeten kolaylıkla yararlanabileceğini gösteriyor.
ASF’nin etkilenen sürümleri, özellikle 3.52.0.2574 ve tüm önceki yinelemeler risk altındadır. Ayrıca, GitHub gibi platformlarda barındırılan tinydhcp sunucusunun çatallarını kullanan geliştiriciler de projelerinin bu Microchip güvenlik açığına karşı savunmasız olduğunu görebilir.
Microchip ASF’nin Arka Planı
Microchip Advanced Software Framework, mikrodenetleyiciler için tasarlanmış ücretsiz ve açık kaynaklı bir kod kütüphanesidir. Değerlendirme, prototipleme, tasarım ve üretim dahil olmak üzere ürün yaşam döngüsünde çeşitli aşamalara hizmet eder. Ancak yazılım artık Microchip tarafından aktif olarak desteklenmiyor ve bu da bu Microchip açığını içeren eski sürümlere güvenen kullanıcılar için işleri zorlaştırıyor.
Amazon Element55’ten Andrue Coombes, açığı keşfetti ve bu da CERT/CC’nin tavsiyesine yol açtı. Merkez, açığın IoT uygulamalarında yaygın olmasının, internette birden fazla örnekte ortaya çıkabileceği ve potansiyel olarak Microchip teknolojisini kullanan sayısız cihazı etkileyebileceği anlamına geldiğini belirtti.
Güvenlik Açığının Sonuçları
CVE-2024-7490’ın oluşturduğu güvenlik riski önemlidir. Uzaktan kod yürütme yeteneğiyle saldırganlar sistemleri manipüle edebilir, kötü amaçlı yazılım dağıtabilir veya başka önemli hasarlara yol açabilir. Bu, birçoğu savunmasız ASF sürümlerinde çalışabilen IoT cihazlarının yükselişi göz önüne alındığında özellikle kritiktir.
Microchip’in yakın geçmişi başka bir endişe katmanı daha ekliyor; şirket önemli veri varlıklarını tehlikeye atan bir fidye yazılımı saldırısı yaşadı. Bu olay, özellikle Microchip Advanced Software Framework gibi güncel olmayan veya desteklenmeyen yazılım kullanan firmalar için daha iyi siber güvenlik önlemlerine olan acil ihtiyacı vurguluyor.
Microchip ASF kullanıcılarının harekete geçmeleri şiddetle tavsiye edilir. CERT/CC, en ihtiyatlı hareket tarzının şu anda desteklenen bir yazılım çözümüne geçiş yapmak olduğunu belirtmiştir.
“Satıcı, müşterilerini aktif bakım altında olan mevcut bir yazılım çözümüne geçmeye çağırdı,” dediler. Ne yazık ki, Microchip’in teknolojisindeki tespit edilen güvenlik açığı için tinydhcp hizmetini aynı açığı paylaşmayan bir alternatifle değiştirmek dışında acil bir çözüm bulunmuyor.