Bir grup siber güvenlik araştırmacısı, Dormakaba'nın Saflok elektronik RFID kilitlerinde birçok kritik güvenlik açığını ortaya çıkardı.
131 ülkede otellerde ve çok aileli konutlarda yaygın olarak kullanılan bu kilitlerin artık “Unsaflok” adı verilen bir güvenlik açığına açık olduğu biliniyor.
Bu kusur, saldırganların bir çift sahte anahtar kartı kullanarak dünya çapında üç milyondan fazla otel odasına yetkisiz erişim elde etmesine olanak tanıyabilir.
Otel Güvenliğine Etkisi
Unsaflok güvenlik açığının keşfedilmesi, oteller ve konutlardaki güvenlik önlemleriyle ilgili önemli endişelere yol açtı.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Etkilenen kilitler, Saflok MT, Quantum Serisi, RT Serisi, Saffire Serisi ve Confidant Serisi gibi popüler modeller de dahil olmak üzere Saflok sisteminin bir parçasıdır.
Bu sistemler dünya çapında 13.000'den fazla mülkün güvenlik altyapısının ayrılmaz bir parçasıdır ve bu güvenlik açığının yaygın etkisini vurgulamaktadır.
Saflok MT ve Saflok RT Plus KilitleriResim: Saflok MT ve Saflok RT Plus Etkilenen kilitlerin en yaygın modelleri.
Güvenlik Açığı Ayrıntıları
Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, sshell ve Will Caruana'nın da aralarında bulunduğu araştırmacılar güvenlik açıklarını tespit etti.
Araştırmaları, bir saldırganın bu zayıflıkları kullanarak, yazılımdan geri alınabilen sürgü gibi geleneksel güvenlik önlemlerini atlayarak oteldeki herhangi bir odanın kilidini açacak bir çift sahte anahtar kartı oluşturabileceğini ortaya çıkardı.
Sorunu Düzeltme
Eylül 2022'de güvenlik açıklarını keşfeden araştırmacılar bulgularını derhal Dormakaba'ya bildirdi.
Şirket, bir düzeltme üzerinde çalışmaya başladı ve etkilenen kilitleri yükseltme sürecini Kasım 2023'te başlattı. Mart 2024 itibarıyla, etkilenen kilitlerin yaklaşık %36'sı güncellendi veya değiştirildi.
Ancak yükseltme süreci kapsamlıdır ve tüm kilitler için yazılım güncellemeleri veya değiştirmeler, tüm anahtar kartların yeniden verilmesi ve ön büro yazılımı, kart kodlayıcılar ve üçüncü taraf entegrasyonlarında yükseltmeler gerektirir.
Bir saldırganın Unsaflok güvenlik açığından kolaylıkla yararlanabilmesi özellikle endişe vericidir.
Saldırgan, mülkteki tek bir anahtar kartıyla (bu kart hızlı ödeme toplama kutusundaki süresi dolmuş bir anahtar kartı bile olabilir) mülkteki herhangi bir kapıyı açabilecek sahte anahtar kartları oluşturabilir.
Proxmark3, Flipper Zero veya NFC özellikli bir Android telefon gibi araçlar, MIFARE Classic kartlarını okuyabilir, yazabilir veya taklit ederek saldırıyı kolaylaştırabilir.
Açıklama Zaman Çizelgesi
Açıklama sürecinin zaman çizelgesi, bu kadar yaygın bir güvenlik sorununu çözmenin karmaşıklığını ve hassasiyetini vurguluyor.
Ağustos 2022'deki ilk keşiften, güvenlik açığının üst düzey ayrıntılarının Mart 2024'te koordineli olarak açıklanmasına kadar, araştırmacılar ve Dormakaba, güvenlik açıklarını tartışmak ve ele almak için en az 13 toplantı gerçekleştirdi.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiBenter.