Finansal hizmetler, telekomünikasyon, sağlık hizmetleri ve otomotiv gibi sektörlerdeki milyonlarca IoT cihazı, cihazların birbirleriyle ve merkezi sunucularla iletişim kurmak için kullandığı hücresel modem teknolojisindeki çeşitli güvenlik açıklarından ödün verme riskiyle karşı karşıyadır.
Telit’in Cinterion modemlerindeki güvenlik açıkları arasında, bir saldırganın etkilenen makineden yararlanılabilmesi için yerel erişime sahip olmasını gerektiren uzaktan kod yürütme kusurları da yer alıyor. En ciddi olanı bellek yığını taşması güvenlik açığıdır (CVE-2023-47610) Bu, uzaktaki saldırganlara etkilenen cihazlarda SMS yoluyla rastgele kod yürütme olanağı sağlar.
Yedi Ciddi Güvenlik Açığı
Kaspersky’den araştırmacılar güvenlik açıklarını keşfetti ve geçen Kasım ayında bunları (toplam yedi kişi) Telit’e bildirdi. Keşifleriyle ilgili bu hafta bir rapor yayınlayan Kaspersky’ye göre Telit, kendisinin en iyi bildiği nedenlerden dolayı bazı kusurları gidermek için yamalar yayınladı, ancak hepsini değil.
Telit, ana web sitesindeki medya iletişim formu aracılığıyla gönderilen Dark Reading yorum talebine hemen yanıt vermedi.
Telit Cinterion modemleri çok sayıda satıcının IoT cihazlarına entegre edilmiştir. Cinterion’u hücresel iletişim için entegre eden IoT ürünlerine örnek olarak endüstriyel ekipmanlar, akıllı sayaçlar, telematik, araç takip, sağlık hizmetleri ve tıbbi cihazlar verilebilir. Kaspersky, modemler genellikle diğer satıcıların ürünleriyle iç içe bir şekilde IoT cihazlarına entegre edildiğinden, etkilenen tüm ürünlerin bir listesini derlemenin zor olduğunu söyledi.
Kaspersky’den bir araştırmacı Dark Reading’e e-postayla gönderdiği yorumda, “Etkilenen IoT sağlayıcılarının veya ürünlerinin sayısına ilişkin kesin bir tahmin sağlayamasak da, çeşitli sektörlerdeki milyonlarca cihazın etkilenebileceğini” söylüyor. “Bu modemlerin otomotiv, sağlık, endüstriyel otomasyon ve telekomünikasyon gibi sektörlerdeki yaygın kullanımı göz önüne alındığında, potansiyel etki oldukça büyük.”
Kaspersky’nin ortaya çıkardığı yedi güvenlik açığından en ciddi olanı olan CVE-2023-47610, konum tabanlı hizmetlere yönelik Cinterion protokolünü etkiliyor. Saldırganlar, modemin işletim sistemine erişmek ve/veya işlevleri üzerinde tam kontrol elde etmek amacıyla cihazın RAM’ini ve flash belleğini değiştirmek için bu kusurdan yararlanma potansiyeline sahiptir. Kaspersky araştırmacısı, bunun, bir saldırganın bağlı cihazların ve ağların bütünlüğünü ve kullanılabilirliğini tehlikeye atma potansiyeline sahip olabileceğini söylüyor.
Araştırmacı, “Bu senaryo, sağlık hizmetleri, telekomünikasyon ve ulaşım da dahil olmak üzere birçok sektörde geniş kapsamlı etkilerle, hassas verilere yetkisiz erişime veya temel operasyonların kesintiye uğramasına yol açabilir” diyor. “Bu tür etkiler operasyonel kesintilerden kamu güvenliği ve güvenliğine yönelik ciddi tehditlere kadar değişebilir.”
SMS’i Devre Dışı Bırakma En İyi Seçenek
Kaspersky, güvenlik açığı bulunan IoT cihazlarını kullanan kuruluşların, gerekli olmayan tüm SMS özelliklerini devre dışı bırakmasını ve özel bağlantı için katı güvenlik ayarlarıyla özel Erişim Noktası Adlarını (APN’ler) kullanmasını önerdi. Satıcıya göre SMS’i devre dışı bırakmak, CVE-2023-47610 ile ilişkili riskleri azaltmanın tek güvenilir yoludur.
Kaspersky araştırmacısı, saldırganların bu güvenlik açığından yararlanmasını zorlaştırma konusunda telekom tedarikçilerinin de muhtemelen bir rol oynaması gerekeceğini söylüyor: “CVE-2023-47610, SMS yoluyla uzaktan kod yürütülmesine izin verdiğinden, telekomünikasyon tedarikçileri, ağ tabanlı güvenlik açıklarını uygulamak için benzersiz bir konuma sahip. Kötü amaçlı SMS mesajlarının savunmasız cihazlara iletilmesini engelleyebilecek düzeyde kontroller.”
Kaspersky’nin Cinterion modemlerinde keşfettiği diğer altı güvenlik açığı (CVE-2023-47611 ile CVE-2023-47616 arası olarak atanmıştır), cihazların üzerlerinde çalışan Java uygulamalarını nasıl işlediğiyle ilgilidir. Güvenlik açıkları, saldırganlara dijital imza kontrollerini atlamak, yetkisiz kod çalıştırmak ve ayrıcalık yükseltme yapmak da dahil olmak üzere birden fazla kötü amaçlı eylem gerçekleştirme yolu sağlıyor. Kaspersky, güvenlik açıklarının veri gizliliği, cihaz ve bütünlük açısından ciddi bir risk oluşturduğunu tespit etti.
“Kaspersky, dijital imza doğrulamasının sıkı bir şekilde uygulanmasını tavsiye ediyor [Java applets] cihazlara fiziksel erişimin kontrol edilmesi ve düzenli güvenlik denetimleri ve güncellemeleri yapılması” diyor araştırmacı.
Yükselen IoT Hata Sorunu
Kaspersky, güvenlik açıklarını geçen Kasım ayında Telit’e bildirmiş olsa da şirket, satıcıya müşterileri riskler hakkında bilgilendirmek ve böylece risk azaltma önlemlerini uygulayabilmek için yeterli fırsatı vermek amacıyla ayrıntıların tam olarak yayınlanmasını erteledi. Araştırmacı, “Amacımız, bu güvenlik açıklarından nasıl yararlanılabileceğine ilişkin ayrıntılı araştırmayı kamuyla paylaşmadan önce uygun koruyucu önlemlerin alındığından emin olmaktı” diyor.
IoT ortamlarına, özellikle de endüstriyel kontrol ve operasyonel teknoloji ortamlarına yönelik saldırılar giderek artan bir endişe kaynağıdır. Nozomi Network tarafından 2023 tehdit verileri üzerinde yapılan bir analiz, IoT ve OT ağlarını hedef alan saldırılarda bir artış tespit etti. IoT güvenlik açıklarında keskin artış. Bir örnek bir diziydi Üç endüstriyel yönlendiricide 11 güvenlik açığı Otorio’daki araştırmacıların geçen yıl bildirdiği şey bu. Güvenlik açıklarının çeşitli sektörlerdeki binlerce endüstriyel IoT ürününü etkilediği düşünülüyordu. Bazı durumlarda, etkilenen ürünlerin satıcıları bildirilen güvenlik açıklarını düzeltmediSynSaber tarafından yapılan başka bir çalışma daha bulundu.