Araştırmacılar, Ruijie Networks’ün bulut bağlantılı cihazlarında çok sayıda güvenlik açığı keşfetti. Saldırganlar bu güvenlik açıklarından yararlanarak erişim noktalarını uzaktan tehlikeye atabilir, dahili ağlara yetkisiz erişim sağlayabilir ve etkilenen cihazlarda rastgele kod çalıştırabilir.
“Açık Susam” saldırısı, bir saldırganın Ruijie Reyee işletim sistemi erişim noktasına fiziksel yakınlıktan yararlanarak tanımlayıcıları çalabileceği, bulut aracılığıyla cihazın güvenliğini ihlal edebileceği ve sonuçta cihaz üzerinde uzaktan kontrol elde edebileceği pratik bir senaryoyu gösteriyor.
Ruijie Networks, anahtarlar, erişim noktaları ve bulut hizmetleri de dahil olmak üzere küresel bir ağ çözümleri sağlayıcısıdır; araştırmacılar, uzaktan güvenliği ihlal eden cihazlar için potansiyel bir saldırı vektörü olarak Ruijie’nin Reyee bulut platformuna odaklanmıştır.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Saldırganlar, bulut platformundaki güvenlik açıklarından yararlanarak, güvenlik duvarlarının ve NAT cihazlarının arkasında olsalar bile erişim noktaları gibi cihazlara yetkisiz erişim elde edebilirler; bu da bağlı cihazları uzaktan saldırılara karşı korumak için bulut tabanlı yönetim platformlarının güvenliğini sağlamanın önemini vurgular.
Ruijie’nin bulut tabanlı yönetim portalı, cihazların seri numarası eşleştirme yoluyla buluta bağlandığı ve kayıtlı kullanıcılar tarafından talep edildiği uzaktan cihaz yönetimine ve yapılandırmasına olanak tanır.
Donanım yazılımı güncellemeleri Ruijie’nin web sitesinden indirilir ancak şifrelenir ve bir cihaz güvenlik açığından yararlanarak araştırmacılar rg-upgrade-crypto şifre çözme ikili dosyasını elde etti.
QEMU öykünmesinin kullanılmasıyla, bellenimin şifresini çözmek için ikili dosyayı gerçekleştirdiler, bu da Linux çekirdeğini ve kök dosya sistemini içeren iç yapısının aydınlatılmasına neden oldu.
Cihazın seri numarası, MQTT kimlik bilgilerini oluşturmak için kullanılır ve bunlar daha sonra Ruijie cihazları tarafından MQTT kullanarak bulutla iletişim kurmak için kullanılır.
Donanım yazılımında tersine mühendislik yapılarak, kimlik bilgisi oluşturma sürecinin, kullanıcıların sızdırılan seri numaralarını kullanarak MQTT aracısında kimlik doğrulaması yapmasına olanak tanıdığı keşfedildi; çünkü bu güvenlik açığı (CVE-2024-45722), cihaz güvenliğini tehlikeye atıyor ve buluta yetkisiz erişime olanak tanıyor.
Ruijie’nin MQTT aracısı tarafından, hassas cihaz bilgilerine yetkisiz erişime izin veren kritik bir güvenlik açığı ortaya çıkarıldı.
Saldırganlar, joker karakter aboneliklerinden yararlanarak, cihaz seri numaraları ve bulut tarafından verilen komutlar da dahil olmak üzere cihazlara gönderilen ve cihazlardan gönderilen mesajları ele geçirebilir; bu da saldırganların bulutu taklit etmesine, bağlı herhangi bir cihazda rastgele kod yürütmesine ve potansiyel olarak tüm ağı tehlikeye atmasına olanak tanır.
Team82, Ruijie erişim noktalarında, saldırganların cihazda uzaktan kod yürütmesine ve saldırganların Wi-Fi işaretçilerini koklayarak cihazın seri numarasını elde etmesine olanak tanıyan bir güvenlik açığı keşfetti.
Saldırganlar, Ruijie’nin MQTT iletişimindeki güvenlik açıklarından yararlanarak bulutu taklit edebilir ve hedef cihaza kötü amaçlı komutlar göndererek iç ağa uzaktan erişim sağlayabilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin