IO DATA DEVICE, INC., UD-LT1 ve UD-LT1/EX yönlendiricilerindeki bazı kritik güvenlik açıklarından aktif olarak yararlanıldığını duyurdu.
Bu güvenlik açıkları kullanıcılar için önemli riskler teşkil etmekte olup acil dikkat ve eylem gerektirmektedir. Aşağıda her bir güvenlik açığına, potansiyel etkisine ve sunulan çözümlere ayrıntılı bir bakış yer almaktadır.
CVE-2024-45841: Kritik Kaynak için Yanlış İzin Ataması
CVSS puanı 6,5 olan bu güvenlik açığı, konuk düzeyinde erişime sahip saldırganların hassas kimlik bilgileri içeren dosyaları almasına olanak tanıyan hatalı izin atamaları içeriyor.
Bu tür bir açığa çıkma, ağın daha fazla yetkisiz erişime ve kötüye kullanılmasına yol açabilir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
CVE-2024-47133: İşletim Sistemi Komut Ekleme
CVSS puanı 7,2 olan bu güvenlik açığı, yönetici izinlerine sahip oturum açmış bir kullanıcının cihazda rastgele işletim sistemi komutları yürütmesine olanak tanır.
Bu güvenlik açığından yararlanılması, etkilenen yönlendiricinin bütünlüğünü ciddi şekilde tehlikeye atabilir ve potansiyel olarak saldırganların sistem ayarlarını değiştirmesine veya hassas verilere erişmesine olanak tanıyabilir.
CVE-2024-52564: Belgelenmemiş Özelliklerin Eklenmesi
CVSS ölçeğinde 7,5 puan alan bu güvenlik açığı, uzaktaki saldırganların güvenlik duvarı korumalarını devre dışı bırakmasına, rastgele komutlar yürütmesine ve kimlik doğrulamaya gerek kalmadan cihaz yapılandırmalarını değiştirmesine olanak tanıyor.
Belgelenmemiş özelliklerin varlığı, yönlendirici üzerinde kapsamlı yetkisiz denetime yol açabileceğinden bu güvenlik açığını özellikle tehlikeli hale getirir.
JVN raporuna göre bu güvenlik açıklarından yararlanılması, kullanıcılar açısından yetkisiz erişim, veri hırsızlığı ve cihaz kontrolünün kaybı gibi ciddi sonuçlara yol açabilir.
Saldırganların rastgele komutlar yürütme ve güvenlik duvarı ayarlarını değiştirme potansiyeli, önemli ağ ihlalleri riskini artırır.
IO DATA DEVICE, INC. kullanıcılara bu güvenlik açıklarını gidermek için cihazlarının donanım yazılımını güncellemelerini tavsiye eder.
CVE-2024-45841 ve CVE-2024-47133 güncellemelerinin 18 Aralık 2024’te yayınlanması planlanıyor. Bu arada, CVE-2024-52564 yamaları hem UD-LT1 hem de UD-LT1 için donanım yazılımı sürümü 2.1.9 ile zaten mevcuttur. /EX modelleri.
Ürün yazılımı güncellemeleri uygulanana kadar kullanıcılar, bu güvenlik açıklarıyla ilişkili riskleri azaltmak için geliştiricinin rehberliğine göre cihaz ayarlarını değiştirmelidir.
IO DATA DEVICE, INC. güvenlik açıklarını kabul etmiştir ve etkili çözümler sunmak için aktif olarak çalışmaktadır. Kullanıcılar daha fazla ayrıntıya ve güncellemelere şirketin resmi web sitesi aracılığıyla erişebilirler.
Güvenlik açıkları, Ulusal Bilgi ve İletişim Teknolojileri Enstitüsü’nden Takeshi Kuramori, Kaori Takashima ve Kohei Masumi’nin yanı sıra 00One, Inc.’den Chuya Hayakawa ve Ryo Kamino tarafından tespit edildi.
JPCERT/CC, bu güvenlik açıklarına yönelik müdahalenin koordine edilmesinde önemli bir rol oynadı. Daha fazla teknik bilgi için kullanıcıların JPCERT/CC’nin analiz ve önerilerine başvurmaları önerilir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses