Nesnelerin İnterneti’ne yönelik tehditler arttıkça, bu cihazları güvence altına almak için çeşitli araştırmalar yapılıyor.
Bunun bir parçası olarak Zero Day Initiative (ZDI), Mart ayında bir “Pwn2Own” yarışması düzenledi. Bu yarışmada birçok teknoloji markasına ait ürünlerde çoklu güvenlik açıkları bulundu.
NetGear yönlendiricileri, güvenlik açıklarının bildirildiği ürünlerden biriydi.
Siber güvenlik çözümleri firması Claroty’nin ekibi82 bu yarışmaya katıldı. Ekip, NetGear RAX30 yönlendiricilerini araştırdı ve tehdit aktörlerinin yararlanabileceği, önceden kimliği doğrulanmış uzaktan kod yürütme, komut ekleme veya kimlik doğrulama atlaması gerçekleştirmelerine olanak tanıyan beş yüksek önem dereceli güvenlik açığı buldu.
Araştırma ekibi, yönlendiricinin API sunucuları olarak 5000 (HTTP) ve 5043 (HTTPS) bağlantı noktalarında çalışan bir soap_serverd hizmeti buldu.
Bunlar, yığın tabanlı bir arabellek taşması güvenlik açığına karşı savunmasız olan yönetim işlevselliği hakkındaki SOAP mesajlarını işler. Araştırma ekibi tarafından bulunan tüm güvenlik açıkları aşağıda listelenmiştir.
CVE-2023-27357 – Bilginin Açığa Çıkması Güvenlik Açığı:
Bu güvenlik açığı, “GetInfo” komutu için kimlik doğrulama olmadığı için mevcuttur. Bu komutun yanıtı, model, seri numarası, güvenlik duvarı sürümü, VPN sürümü ve çok daha fazlası gibi cihaz bilgilerinden oluşur.
CVE-2023-27368: – Arabellek Taşması Kimlik Doğrulamasını Atlama Güvenlik Açığı
Bu güvenlik açığı, soap_serverd hizmetinin verilerin uzunluğunu kontrol etmemesi nedeniyle ortaya çıkar. Buna ek olarak, hizmet önce HTTP başlıklarını okur ve yöntemi, yolu ve HTTP sürümünü çıkarmak için sscanf işlevini kullanarak bunları ayrıştırır.
Bu uzunluk eksikliği kontrolü, yığın tabanlı bir arabellek taşması güvenlik açığına izin verse de, HTTP, 5000 numaralı bağlantı noktasında çalışan bir işlev alır ve HTTP üstbilgisinin uzunluğunu kontrol ederek onu kullanmamızı sınırlar. Ancak, araştırma ekibi tarafından keşfedilen bir baypas vardı.
CVE-2023-27369 – Arabellek Taşması Kimlik Doğrulamasını Atlama Güvenlik Açığı
Daha önce bahsedildiği gibi, 5043 (HTTPS veya SSL) ve 5000 (HTTP) olmak üzere iki bağlantı noktası soap_serverd hizmetini çalıştırır. Bu nedenle, her iki portun da iki farklı soket okuma ve soket yazma işlevi vardı.
Önceki güvenlik açığı (CVE-2023-27368) ile bağlantılı olarak, 5043 bağlantı noktası tarafından okunan SOAP mesajı, kaç baytın okunduğunu kontrol etmeyen bir soket okuma işlevini çağırır.
Bu soket okuma işlevi, okunacak büyük miktarda veri göndererek bir yığın taşması gerçekleştirebilir ve bu da yığın tabanlı bir arabellek taşmasına neden olur.
CVE-2023-27370 – Yönetici Parolasını Sıfırlamayı Atlayın
Yönlendirici kurulurken, kullanıcılardan yönlendirici kontrol panelinde kimlik doğrulaması yapmak için benzersiz bir parola oluşturmaları istenir. Bununla birlikte, kullanıcıların şifrelerini unutmaları durumunda şifrenin sıfırlanması için bazı güvenlik soruları da belirlenmelidir.
Cihaz konfigürasyonu bu bilgiyi düz metin (base64) olarak saklar.
Parolayı sıfırlamak için, kullanıcıların yönlendiricinin seri numarasını girmesi ve önceden ayarlanmış güvenlik sorularını yanıtlaması gerekir.
Saldırgan, yukarıda belirtilen üç güvenlik açığını kullanarak kimlik doğrulamasını atlayabilir ve yönetici parolasını sıfırlamak için gereken tüm bilgileri döndüren GetConfigInfo komutunu çalıştırabilir.
CVE-2023-27367 – Kimlik Doğrulamayı Atlama ve Komut Enjeksiyonu
23 numaralı bağlantı noktasındaki telnet hizmeti, NetGear yönlendiricilerinde varsayılan olarak etkin değildir. libcms_cli modülünde bulunan ve sistem çağrısını yürütmeden önce kullanıcı tarafından sağlanan komutları doğrulamayan bir güvenlik açığı daha önce keşfedilmişti.
Araştırma ekibi, yönlendiricideki 23 numaralı bağlantı noktasını etkinleştirmek için bir “açık telnet sihirli paketi” kullandı. Ancak yine de Telnet belirli komutlarla sınırlıdır.
CVE-2023-27370 ile bağlantılı olan TFTP komutunun yürütülmeden önce filtrelenmediğini keşfettiler. Bu nedenle, bu TFTP arabirimi herhangi bir komutu çalıştırmak için kullanılabilir.
Bu beş güvenlik açığı zincirlenmiştir ve uzaktan komut yürütmeyi etkinleştirmek için RAX30’dan yararlanabilir. Bir tehdit aktörü tarafından başarılı bir şekilde istismar, kullanıcı etkinliğinin izlenmesine, trafiğin saldırgan tarafından kontrol edilen kötü amaçlı web sitelerine yönlendirilmesine, bir internet bağlantısının ele geçirilmesine veya ağ trafiğine kötü amaçlı yazılım enjekte edilmesine yol açabilir.
NETGEAR, bu güvenlik açıkları için güvenlik önerileri yayınladı ve müşterilerinden bu güvenlik açıklarını gidermek için RAX30 yönlendiricilerini yükseltmelerini istedi.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin