CVE-2024-45347 olarak izlenen kritik bir güvenlik açığı, Xiaomi’nin MI Connect Service uygulamasında keşfedildi ve milyonlarca kullanıcıyı akıllı cihazlarına yetkisiz erişim riskine maruz bıraktı.
CVSS Şiddet Puanı 9.6 alan kusur, uygulamanın kimlik doğrulama mantığındaki bir kusurdan kaynaklanarak saldırganların güvenlik kontrollerini atlamasına ve kullanıcı cihazları üzerinde yasadışı kontrol kazanmasına izin veriyor.
Güvenlik Açığı Genel Bakış
Güvenlik açığı, MI Connect Service uygulamasının protokolündeki uygunsuz kimlik doğrulamasından (CWE-287) ortaya çıkar.
.png
)
Saldırganlar, hedefle aynı ağ segmentinde olmaları koşuluyla, kullanıcı etkileşimi olmadan cihazlara erişmek için bu kusuru kullanabilirler. Potansiyel sonuçlar şunları içerir:
- Hassas kullanıcı bilgilerine yetkisiz erişim
- Cihaz ayarlarının veya depolanan verilerin değiştirilmesi
- Normal cihaz işlevinin bozulması
- Cihaz gizliliği ve bütünlüğünün tamamen uzlaşması
Xiaomi’ye göre, güvenlik açığı Mi Connect Service App sürüm 3.1.895.10’u etkiler. Xiaomi, sorunu ele almak için 3.1.921.10 yamalı bir sürüm yayınladı. Kullanıcılar riski azaltmak için uygulamalarını hemen güncellemeleri şiddetle teşvik edilir.
Kusur, bitişik bir ağdaki bir saldırgan tarafından atlanabilen uygulamanın doğrulama mantığına dayanır.
Bu, herhangi bir kullanıcı eylemi olmadan, kötü niyetli bir aktörün bir kurbanın cihazını uzaktan erişebileceği ve manipüle edebileceği anlamına gelir.
\ Şu anda kamu kavramı veya sömürü kanıtı bildirilmemiştir, ancak konunun şiddeti birden fazla güvenlik kuruluşundan acil tavsiyelerde bulunmuştur.
Azaltma adımları
Güvenlik uzmanları, etkilenen kullanıcılar ve kuruluşlar için aşağıdaki işlemleri önerir:
- MI Connect Service uygulamasını 3.1.921.10 sürümüne güncelleyin
- Yerel ağlarda MI Connect Hizmetine Ağ Erişimini Kısıtlayın
- Bitişik ağlarda şüpheli etkinlik izleyin
- Gerekli değilse MI Connect Hizmetini devre dışı bırakın
- İzinsiz erişim denemelerini tespit etmek için ağ segmentasyonunu uygulayın ve izleme araçlarını kullanın
Xiaomi, Shandong Üniversitesi’nin Siber Ara Güvenlik Enstitüsü’nden Liu Xiaofeng’in kırılganlığı bildirmek için katkısını kabul etti.
Şirket, kullanıcı güvenliğine olan bağlılığını yineledi ve güvenlik araştırmacılarını küresel kullanıcı tabanını korumaya yardımcı olmak için güvenlik açığı açıklama programına (VDP) katılmaya teşvik ediyor.
Xiaomi, açıklanan güvenlik açıkları hakkındaki bilgilerin yalnızca risk değerlendirmesi ve karar verme amaçları için sağlandığını vurgulamaktadır.
CVE-2024-45347, IoT ve birlikte çalışabilirlik uygulamalarında sağlam kimlik doğrulama mekanizmalarının kritik önemini vurgular. Xiaomi kullanıcılarının, cihazlarını güncelleyerek ve potansiyel sömürüye karşı korumak için önerilen güvenlik uygulamalarını takip ederek hızlı bir şekilde hareket etmeleri istenir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin