Xiaomi’nin birlikte çalışabilirlik uygulamasında ciddi bir güvenlik açığı keşfedildi ve potansiyel olarak milyonlarca kullanıcıyı yetkisiz cihaz erişimine maruz bıraktı.
CVE-2024-45347 atanan güvenlik açığı, etkilenen kullanıcılar için yüksek riskli doğasını gösteren 9.6 ciddi bir CVSS skoru taşır.
Saldırganlar, kimlik doğrulama mekanizmalarını atlamak ve etkilenen yazılımı çalıştıran mağdur cihazlara tam yetkisiz erişim elde etmek için bu güvenlik açığından yararlanabilir.
.png
)
Summary
1. Xiaomi's interoperability application contains a severe vulnerability (CVE-2024-45347) that allows hackers to bypass verification logic and gain unauthorized access to victim devices.
2. The vulnerability exploits flaws in interoperability application protocols, specifically targeting the authentication mechanism and potentially compromising entire systems.
3. Version 3.1.895.10 of Xiaomi's Interconnection Application is vulnerable, while users should immediately update to the patched version 3.1.921.10.Xiaomi uygulamasının kimlik doğrulama bypass
Güvenlik açığı, uygulamanın kötü niyetli aktörlerin atlayabileceği doğrulama mantığında temel bir kusurdan kaynaklanmaktadır.
Xiaomi’nin güvenlik danışmanlığına göre, kusur birlikte çalışabilirlik uygulama protokolleri içinde, özellikle kullanıcı erişimini doğrulayan kimlik doğrulama mekanizmasında yer almaktadır.
Bu bypass güvenlik açığı, saldırganların normal güvenlik kontrollerini atlatmalarını ve etkilenen yazılımı çalıştıran kurban cihazlarına yetkisiz erişim elde etmelerini sağlar.
Bu güvenlik açığının teknik doğası, saldırganların uygulamanın iletişim protokollerindeki veya kimlik doğrulama el sıkışma süreçlerindeki zayıflıklardan potansiyel olarak yararlanabileceğini düşündürmektedir.
9.6 yüksek CVSS puanı, başarılı sömürünün etkilenen sistemin tamamen uzlaşmasına neden olabileceğini ve potansiyel olarak saldırganların hassas verilere erişmesine, kötü amaçlı yazılımlara yüklemesine veya tehlikeye atılan cihaza kalıcı erişimi sürdürmesine izin verebileceğini gösterir.
Güvenlik açığı, Bulguları Xiaomi Güvenlik Merkezi’ne (MISRC) bildiren Shandong Üniversitesi Siber Güvenlik Okulu’ndan Liu Xiaofeng tarafından keşfedildi.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Xiaomi ara bağlantısı uygulaması 3.1.895.10 |
| Darbe | Saldırganların kurbanın cihazına tam erişim kazanmasına izin veren yetkisiz erişim |
| Önkoşuldan istismar | – Hedef cihaza ağ erişimi – Birlikte çalışabilirlik uygulama protokolleri – doğrulama mantığını atlamak için kötü niyetli istekler oluşturma yeteneği |
| CVSS 3.1 puanı | 9.6 (kritik) |
Etkilenen sürümler ve güvenlik güncellemeleri
Xiaomi’nin ara bağlantı uygulaması sürüm 3.1.895.10 bu güvenlik kusuruna karşı savunmasız olarak tanımlanmıştır.
Bu sürümü çalıştıran kullanıcılar anında risk altındadır ve yazılımlarını derhal güncellemelidir.
Xiaomi, güvenlik açığını ele alan ve uygun doğrulama mantığı işlevselliğini geri yükleyen 3.1.921.10 yamalı bir sürüm yayınladı.
Şirket, bu güvenlik açığının vahşi doğada aktif olarak kullanılmadığını açıklamamıştır, ancak kusurun şiddeti kullanıcıların uygulamalarını güncellemeye öncelik vermesi gerektiğini göstermektedir.
Birlikte çalışabilirlik uygulaması, Xiaomi cihazları ve diğer akıllı ev ürünleri arasındaki kesintisiz bağlantıyı kolaylaştırmak için tasarlanmıştır, bu da onu şirketin ekosisteminin kritik bir bileşeni haline getirir.
Xiaomi, güvenlik araştırmacılarını ve profesyonellerini, dünya çapında yüz milyonlarca kullanıcıyı koruma taahhüdünü vurgulayarak MISRC aracılığıyla hata ödül programlarına katılmaya teşvik etmeye devam ediyor.
Şirket, güvenlik topluluğu ile işbirlikçi çabaların, kötü niyetli bir şekilde sömürülmeden önce potansiyel güvenlik açıklarını belirlemek ve ele almak için gerekli olduğunu savunuyor.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial