Otomotiv siber güvenlik ortamındaki son keşifler, saldırganların araç sistemleri üzerinde tam kontrol sahibi olmasına olanak verebilecek bir dizi kritik sıfır gün güvenlik açığını ortaya çıkardı.
PlaxidityX’ten güvenlik araştırmacısı Amit Geynis’in sunumunda vurgulanan bu güvenlik açıkları, otomotiv endüstrisinde güçlü siber güvenlik önlemlerine olan acil ihtiyacın altını çiziyor.
Bir dizi güvenlik açığı
“Güvenlik Açığı #1” olarak etiketlenen ilk güvenlik açığı, Denetleyici Alan Ağı (CAN) üzerinden rastgele uzaktan kod yürütülmesini içeriyor.
Bu güvenlik açığı, en yüksek ayrıcalıklarla çalışan bir Kesinti Hizmeti Rutinindeki (ISR) bir “memcpy” işlevinden yararlanarak saldırganların yığındaki dönüş adresine doğrudan yazmasına ve yığın kanaryalarını atlamasına olanak tanır.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Bu, Geri Dönüş Odaklı Programlama (ROP) saldırılarını yürütmek için kullanılabilir ve saldırganlara sistem üzerinde tam kontrol sağlar.
İkinci güvenlik açığı olan “Güvenlik Açığı #2”, IPsec ve SOME/IP-SD protokolleri üzerinden uzaktan kod yürütme (RCE) ile ilgilidir.
Arayüz bulanıklaştırma yoluyla araştırmacılar, program sayacının geçersiz bellek alanlarına işaret etmesine yol açabilecek yığın taşmaları buldular ve bunu önleyecek yığın kanaryaları yoktu.
Bu güvenlik açığı, güvenlik açısından kritik kaynaklar üzerinde tam kontrol elde etmek için başkalarıyla zincirlenebilir.
Ayrıca “Güvenlik Açığı #3”, uzaktan komutlar için kullanılan mobil uygulamalardaki titrek şifrelemeyle ilgili sorunları vurguluyor.
Rastgele olmayan, türetilebilir anahtarların ve sabit kodlu ana anahtarların kullanılması, saldırganların kimlik doğrulamayı atlamasına ve Telematik Kontrol Birimi (TCU) gibi meşru kaynakların kimliğine bürünmesine olanak tanır.
Son olarak, “Güvenlik Açığı #4”, hücresel bağlantılar yoluyla uzak ve kalıcı bir güvenlik açığını içermektedir.
Saldırganlar, arka uçla iletişimi tetiklemek için ikili SMS mesajlarını kullanabilir ve sisteme isteğe bağlı yürütülebilir dosyalar enjekte edebilir, bu da güvenlik açısından kritik CAN veri yolu iletişimlerini potansiyel olarak etkileyebilir.
Sunumda, bu bulguların otomotiv endüstrisindeki daha geniş bir sıfır gün güvenlik açığı eğiliminin parçası olduğu belirtiliyor.
Örneğin, VicOne ve Trend Micro’nun Sıfır Gün Girişimi (ZDI) tarafından düzenlenen Pwn2Own Automotive etkinliğinde 49 benzersiz sıfır gün güvenlik açığı keşfedildi ve VicOne ürünleri bu güvenlik açıklarından 44’ünü tespit edebilen tek ürün oldu.
Bu tür güvenlik açıklarının yaygınlığı, proaktif siber güvenlik önlemlerinin önemini vurgulamaktadır.
VicOne, bu riskleri azaltmak için erken tespit yeteneklerine ve bütünsel güvenlik yaklaşımlarına duyulan ihtiyacı vurguluyor.
Şirketin xNexus, xCarbon ve xZETA dahil ürünleri, kapsamlı tehdit istihbaratı ve güvenlik açığı yönetimi sağlayacak şekilde tasarlandı.
Daha geniş bir bağlamda, sıfır gün güvenlik açıkları çeşitli endüstrilerde kritik bir endişe kaynağıdır.
Son raporlar, saldırganların Web İşareti korumalarını atlamasına olanak tanıyan CVE-2024-38217 ve Lazarus Grubu tarafından istismar edilen bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-38193 gibi Windows güvenlik işlevlerindeki güvenlik açıklarını vurguladı.
Otomotiv endüstrisinin bu tehditleri ciddiye alması ve bu güvenlik açıklarına karşı koruma sağlamak için güçlü siber güvenlik önlemlerine yatırım yapması gerekiyor.
Bu, düzenli güvenlik denetimlerini, sızma testlerini ve sıfır gün güvenlik açıklarını istismar edilmeden önce tespit etmek ve azaltmak için gelişmiş tehdit istihbaratı araçlarının kullanımını içerir.
Sonuç olarak, otomotiv endüstrisindeki kritik sıfır gün güvenlik açıklarına ilişkin son keşifler, gelişmiş siber güvenliğe olan ihtiyacın açık bir hatırlatıcısı olarak hizmet ediyor.
Sektör, güvenliğe proaktif ve bütünsel bir yaklaşım benimseyerek bu tehditlere karşı daha iyi koruma sağlayabilir ve araç sistemlerinin güvenliğini ve bütünlüğünü sağlayabilir.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar