Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Gömülü Cihaz İşletim Sisteminde Hacerlerin Bütünlük Denetimini Atlamasına İzin Veren Kusur Vardı
Anviksha Daha Fazla (AnvikshaDevamı) •
10 Aralık 2024
Popüler bir Linux işletim sisteminin gömülü cihazlara yönelik güncelleme hizmetindeki kritik bir kusur, bilgisayar korsanlarının kötü amaçlı görüntülerle ürün yazılımını tehlikeye atmasına olanak tanıyabilir.
Ayrıca bakınız: MDR Yönetici Raporu
Flatt Security’den güvenlik araştırmacısı “RyotaK”, rutin bir ev laboratuvarı yönlendirici yükseltmesi sırasında OpenWrt’ın güncelleme hizmetinde bir güvenlik açığı keşfetti.
OpenWrt, gömülü cihazlar, özellikle de yönlendiriciler, erişim noktaları ve diğer IoT donanımları gibi ağ cihazları için özel olarak tasarlanmış açık kaynaklı bir işletim sistemidir. Gelişmiş özellikleri ve ASUS, Belkin, Buffalo, D-Link ve Zyxel gibi markaların yönlendiricilerine yönelik geniş desteği nedeniyle, üreticinin sağladığı ürün yazılımı yerine popüler bir seçimdir.
OpenWrt geliştiricileri, RyotaK’ın kusuru özel olarak ifşa etmesinden sonra, 9.3 CVSS çekirdeğiyle güvenlik açığını yamaladı ve CVE-2024-54143 olarak takip edildi.
OpenWrt, Katılımlı Sysupgrade adlı bir hizmete sahiptir; bu hizmet, kullanıcıların önceden yüklenmiş paketleri ve ayarları birleştirerek talep üzerine özel ürün yazılımı yapıları oluşturmasına olanak tanır.
RyotaK, güvenlik sorununu OpenWrt’ın isteğe bağlı görüntü sunucusu ASU’sunda buldu. Hizmet şu adresteki sunucu tarafından desteklenmektedir: sysupgrade.openwrt.orgKullanıcıların, cihazlarına ve seçtikleri yazılım paketlerine göre uyarlanmış özel donanım yazılımı görüntülerini talep etmelerine olanak tanır. Görüntü oluşturulup teslim edildikten sonra cihazdaki OpenWrt onu yükler.
Sorun iki güvenlik açığını içeriyor. Birincisi, saldırganların bütünlük kontrollerini atlamasına olanak tanıyan kesik bir SHA-256 karma değeridir. Kötü niyetli bir kişi, bir uyarıyı tetiklemeden ürün yazılımını değiştirebilir ve kötü amaçlı ürün yazılımının tespit edilmeden yüklenmesine olanak tanıyabilir.
İkinci kusur ise komut ekleme güvenlik açığıdır. Bu sorun, bir saldırganın ürün yazılımı oluşturma sürecine kötü amaçlı komutlar eklemesi durumunda ortaya çıkar. Bu kusur, saldırganların donanım yazılımı görüntülerinin oluşturulmasını manipüle etmesine, potansiyel olarak donanım yazılımına zararlı kod yerleştirmesine olanak tanır ve saldırganın, manipüle edilmiş donanım yazılımını yükleyen cihazlar üzerinde kontrol sahibi olmasını sağlar.
OpenWrt ekibi, güvenlik açığının görselleri etkilediğini gösteren hiçbir kanıt bulunmadığını söyledi. downloads.openwrt.org. Ancak görünürlükleri son 7 günle sınırlı olduğundan, kullanıcılara halihazırda cihazlarında yüklü olan ve potansiyel olarak güvenli olmayan donanım yazılımlarının yerine yeni oluşturulmuş bir görüntü yüklemeleri önerilir.