Japonya’nın CERT’i, bilgisayar korsanlarının cihaz ayarlarını değiştirmek, komutları yürütmek ve hatta güvenlik duvarını kapatmak için IO Data yönlendirici cihazlarındaki sıfır gün güvenlik açıklarından yararlandığı konusunda uyarıyor.
Satıcı, web sitesinde yayınlanan bir güvenlik bültenindeki kusurları kabul etti. Ancak düzeltmelerin 18 Aralık 2024’te uygulamaya konması bekleniyor, dolayısıyla azaltımlar etkinleştirilmediği sürece kullanıcılar o zamana kadar risklere maruz kalacak.
Güvenlik açıkları
13 Kasım 2024’te belirlenen üç kusur; bilgilerin ifşa edilmesi, uzaktan isteğe bağlı işletim sistemi komutlarının yürütülmesi ve güvenlik duvarlarını devre dışı bırakma yeteneğidir.
Sorunlar özetle şöyle:
- CVE-2024-45841: Hassas kaynaklara ilişkin izinler yanlış yapılandırılmıştır ve düşük düzey ayrıcalıklara sahip kullanıcıların kritik dosyalara erişmesine olanak tanımaktadır. Örneğin, konuk hesabının kimlik bilgilerini bilen bir üçüncü taraf, kimlik doğrulama bilgilerini içeren dosyalara erişebilir.
- CVE-2024-47133: Kimliği doğrulanmış yönetici kullanıcıların, yapılandırma yönetiminde yetersiz giriş doğrulamasından yararlanarak cihaza rastgele işletim sistemi komutları eklemesine ve yürütmesine olanak tanır.
- CVE-2024-52564: Ürün yazılımındaki belgelenmemiş özellikler veya arka kapılar, uzaktaki saldırganların kimlik doğrulaması olmadan cihazın güvenlik duvarını kapatmasına ve ayarları değiştirmesine olanak tanır.
Bu üç sorun, çok yönlü bağlantı çözümleri için tasarlanmış hibrit bir LTE yönlendirici olan UD-LT1’i ve onun endüstriyel sınıf sürümü olan UD-LT1/EX’i etkiliyor.
Mevcut en son donanım yazılımı sürümü olan v2.1.9, yalnızca CVE-2024-52564’e yöneliktir ve IO Data, diğer iki güvenlik açığına yönelik düzeltmelerin 18 Aralık 2024’te yayınlanması planlanan v2.2.0’da sunulacağını belirtmektedir.
Satıcının bültende doğruladığı gibi, müşteriler zaten saldırılarda bu kusurlardan yararlanıldığını bildirmişti.
IO veri güvenliği danışma belgesinde “Son zamanlarda, konfigürasyon arayüzüne internetten VPN olmadan erişime izin verilen hibrit LTE yönlendiricilerimiz ‘UD-LT1’ ve ‘UD-LT1/EX’i kullanan müşterilerimizden sorular aldık.”
“Bu müşteriler, dış kaynaklardan olası yetkisiz erişim bildirdi.”
Satıcı, güvenlik güncelleştirmeleri kullanıma sunulana kadar kullanıcıların aşağıdaki azaltıcı önlemleri uygulamasını önerir:
- WAN Bağlantı Noktası, Modem ve VPN ayarları dahil tüm internet bağlantı yöntemleri için Uzaktan Yönetim özelliğini devre dışı bırakın.
- Yetkisiz harici erişimi önlemek için erişimi yalnızca VPN bağlantılı ağlarla sınırlayın.
- Varsayılan “konuk” kullanıcının şifresini 10’dan fazla karakterden oluşan daha karmaşık bir şifreyle değiştirin.
- Yetkisiz değişiklikleri erken tespit etmek için cihaz ayarlarını düzenli olarak izleyin ve doğrulayın, cihazı fabrika varsayılanlarına sıfırlayın ve bir güvenlik ihlali tespit edilirse yeniden yapılandırın.
IO DATA UD-LT1 ve UD-LT1/EX LTE yönlendiricileri öncelikle Japonya’da pazarlanıp satılıyor, NTT Docomo ve KDDI gibi birden fazla operatörü desteklemek üzere tasarlandı ve ülkedeki başlıca MVNO SIM kartlarıyla uyumlu.