Siber güvenlik araştırmacıları, kötü niyetli kişilerin kullanıcıları gizlice dinlemek için kullanabileceği Sonos akıllı hoparlörlerde zayıflıklar keşfetti.
NCC Group güvenlik araştırmacıları Alex Plaskett ve Robert Herrera, güvenlik açıklarının “Sonos’un güvenli önyükleme sürecinin çok çeşitli cihazlarda güvenliğinin tamamen bozulmasına ve kablosuz olarak birçok cihazın uzaktan tehlikeye atılmasına yol açtığını” söyledi.
Bu kusurlardan birinin başarılı bir şekilde istismar edilmesi, uzak bir saldırganın kablosuz saldırı yoluyla Sonos cihazlarından gizli ses yakalama elde etmesine olanak tanıyabilir. Bunlar, Ekim ve Kasım 2023’te piyasaya sürülen Sonos S2 sürüm 15.9 ve Sonos S1 sürüm 11.12’den önceki tüm sürümleri etkiler.
Bulgular Black Hat USA 2024’te sunuldu. İki güvenlik açığının açıklaması şu şekildedir:
- CVE-2023-50809 – Sonos One Gen 2 Wi-Fi yığınındaki bir güvenlik açığı, WPA2 dört yönlü el sıkışma sırasında bir bilgi öğesini düzgün bir şekilde doğrulamaz ve bu da uzaktan kod yürütülmesine yol açar
- CVE-2023-50810 – Sonos Era-100 yazılımının U-Boot bileşeninde, Linux çekirdek ayrıcalıklarıyla kalıcı keyfi kod yürütülmesine izin verecek bir güvenlik açığı
Sonos Era-100 ve Sonos One cihazlarında uzaktan kod yürütmeyi sağlamak için önyükleme sürecini tersine mühendislikle gerçekleştiren NCC Group, CVE-2023-50809’un, MediaTek tarafından üretilen üçüncü taraf bir yonga seti olan Sonos One’ın kablosuz sürücüsündeki bir bellek bozulması güvenlik açığının sonucu olduğunu söyledi.
MediaTek, CVE-2024-20018 için bir danışmada “WLAN sürücüsünde, uygunsuz giriş doğrulaması nedeniyle olası bir sınır dışı yazma var” dedi. “Bu, ek yürütme ayrıcalıklarına gerek kalmadan yerel ayrıcalık yükseltmesine yol açabilir. Kullanıcı etkileşimi istismar için gerekli değildir.”
Bu şekilde elde edilen ilk erişim, kök bağlamında akıllı hoparlör üzerinde tam kontrol elde etmek için cihazda tam bir kabuk elde etmeyi ve ardından hoparlöre fiziksel olarak yakın mesafede mikrofondan ses yakalayabilen yeni bir Rust implantı yerleştirmeyi içeren bir dizi istismar sonrası adımın önünü açıyor.
Diğer hata olan CVE-2023-50810, güvenli önyükleme sürecinde belirlenen ve Era-100 cihazlarına sızmayı amaçlayan bir dizi güvenlik açığıyla ilgilidir ve bu sayede çekirdek bağlamında imzasız kod yürütülmesine olanak tanıyan güvenlik kontrollerini atlatmak mümkün hale gelir.
Bu daha sonra ARM EL3 düzeyinde kod yürütülmesini kolaylaştırmak ve donanım destekli kriptografik sırları çıkarmak için bir N günlük ayrıcalık yükseltme açığıyla birleştirilebilir.
Araştırmacılar, “Genel olarak, bu araştırmadan çıkarılacak iki önemli sonuç var,” dedi. “Birincisi, OEM bileşenlerinin şirket içi bileşenlerle aynı güvenlik standardına sahip olması gerektiğidir. Tedarikçiler ayrıca ürünlerinin tüm harici saldırı yüzeylerinin tehdit modellemesini yapmalı ve tüm uzak vektörlerin yeterli doğrulamaya tabi tutulduğundan emin olmalıdır.”
“Güvenli önyükleme zayıflıkları durumunda, bu zayıflıkların ortaya çıkmadığından emin olmak için önyükleme zincirinin doğrulanması ve test edilmesi önemlidir. Hem donanım hem de yazılım tabanlı saldırı vektörleri dikkate alınmalıdır.”
Açıklama, donanım yazılımı güvenlik şirketi Binarly’nin, yaklaşık bir düzine tedarikçiye ait yüzlerce UEFI ürününün, saldırganların Güvenli Önyüklemeyi atlatıp kötü amaçlı yazılım yüklemesine olanak tanıyan PKfail olarak bilinen kritik bir donanım yazılımı tedarik zinciri sorununa karşı hassas olduğunu açıklamasının ardından geldi.
Özellikle, yüzlerce ürünün American Megatrends International (AMI) tarafından oluşturulan bir test Platform Anahtarı kullandığını ve bunun tedarik zincirindeki alt kuruluşlar tarafından güvenli bir şekilde oluşturulan başka bir anahtarla değiştirilmesi umuduyla muhtemelen referans uygulamalarına dahil edildiğini tespit etti.
“Sorun, UEFI terminolojisinde Platform Anahtarı (PK) olarak bilinen Güvenli Önyükleme ‘ana anahtarı’ndan kaynaklanıyor. Bu anahtar, Bağımsız BIOS Satıcıları (IBV’ler) tarafından üretildiği ve farklı satıcılar arasında paylaşıldığı için güvenilmiyor,” denilerek, bunun hem x86 hem de ARM mimarilerini etkileyen çapraz silikon sorunu olduğu ifade edildi.
“Bu Platformun Anahtarı […] genellikle OEM’ler veya cihaz satıcıları tarafından değiştirilmez ve bu da cihazların güvenilmeyen anahtarlarla gönderilmesiyle sonuçlanır. PK’nin özel kısmına erişimi olan bir saldırgan, Anahtar Değişim Anahtarı (KEK) veritabanını, İmza Veritabanını (db) ve Yasak İmza Veritabanını (dbx) manipüle ederek Güvenli Önyüklemeyi kolayca atlatabilir.”
Sonuç olarak, PKfail kötü niyetli kişilerin Güvenli Önyükleme etkinleştirilmiş olsa bile önyükleme işlemi sırasında keyfi kod çalıştırmasına izin verir ve bu da kötü niyetli kişilerin kötü amaçlı kodu imzalamasına ve BlackLotus gibi bir UEFI önyükleme seti sunmasına olanak tanır.
“PKfail’e karşı savunmasız ilk aygıt yazılımı Mayıs 2012’de yayınlanırken, sonuncusu Haziran 2024’te yayınlandı,” dedi Binarly. “Genel olarak, bu tedarik zinciri sorununu türünün en uzun süreli olanlarından biri haline getiriyor ve 12 yılı kapsıyor.”