Kullanıcıların bir mobil uygulama aracılığıyla takılı olan her şeyi uzaktan kontrol etmelerine olanak tanıyan Wemo Mini Smart Plug V2, siber saldırganların çeşitli kötü sonuçlara geçiş yapmasına olanak tanıyan bir güvenlik açığına sahiptir. Elektronik cihazların uzaktan açılıp kapatılması ve dahili bir ağa daha derine inme veya ek cihazlara atlama potansiyeli bunlara dahildir.
Tüketiciler ve benzer şekilde işletmeler tarafından kullanılan Smart Plug, mevcut bir prize takılır ve Evrensel Tak-Çalıştır (UPNP) bağlantı noktalarını kullanarak dahili bir Wi-Fi ağına ve daha geniş İnternet’e bağlanır. Kullanıcılar daha sonra cihazı bir mobil uygulama aracılığıyla kontrol edebilir ve bu da esasen eski usul lambaları, fanları ve diğer yardımcı öğeleri “akıllı” hale getirmenin bir yolunu sunar. Uygulama Alexa, Google Asistan ve Apple Home Kit ile entegre olurken kolaylık sağlamak için planlama gibi ek özellikler sunar.
Açık (CVE-2023-27217), cihazın F7C063 modelini etkileyen ve onu keşfeden Sternum araştırmacılarına göre uzaktan komut enjeksiyonuna izin veren bir arabellek taşması güvenlik açığıdır. Ne yazık ki, bir düzeltme için cihaz üreticisi Belkin’e başvurduklarında, cihazın kullanım ömrünün sonuna geldiği için herhangi bir üretici yazılımı güncellemesinin gelmeyeceği söylendi.
Smart Plug’in Amazon’da sahip olduğu 17.000 incelemeye ve dört yıldızlı derecelendirmeye atıfta bulunarak, 16 Mayıs’ta yaptıkları bir analizde, “Bu arada, bu cihazların çoğunun hala vahşi doğada konuşlandırıldığını varsaymak güvenlidir” dediler. “Yalnızca Amazon’daki toplam satışların yüz binlerce olması gerekir.”
Sternum’un pazarlamadan sorumlu başkan yardımcısı Igal Zeifman, Dark Reading’e bunun saldırı yüzeyi için düşük bir tahmin olduğunu söylüyor. “Bu bizim çok muhafazakar olmamız,” diye belirtiyor. “Araştırma başladığında yalnızca laboratuvarımızda üç tane vardı. Bunların fişi çekildi.”
“İşletmeler ağlarında Wemo Eklentisinin bu sürümünü kullanıyorsa, durmalı veya (en azından) Evrensel Tak-Çalıştır (UPNP) bağlantı noktalarının uzaktan erişime açık olmadığından emin olmalıdır. bu cihaz kritik bir rol oynuyorsa veya kritik bir ağa veya varlığa bağlıysa, pek iyi durumda değilsiniz.”
CVE-2023-27217: Bir Adın İçinde Neler Var?
Hata, aygıt yazılımının Akıllı Fişin adlandırılmasını işleme biçiminde mevcuttur. “Wemo mini 6E9”, kutudan çıkar çıkmaz cihazın varsayılan adı olsa da, kullanıcılar aygıt yazılımında “FriendlyName” değişkeni olarak belirlenmiş olanı kullanarak, örneğin “mutfak prizi” veya benzeri bir şey kullanarak cihazı istedikleri gibi yeniden adlandırabilirler.
“Kullanıcı girişi için bu seçenek, özellikle uygulamada adı değiştirmenin bazı korkuluklarla geldiğini gördüğümüzde, Örümcek duyularımızı zaten karıncalandırdı, [specifically a 30-character limit],” diye belirtti Sternum araştırmacıları. “Bu bizim için hemen iki soruyu gündeme getirdi: ‘Kim söylüyor?’ ve ’30 karakterden fazlasını yapmayı başarırsak ne olur?'”
Mobil uygulama, 30 karakterden uzun bir ad oluşturmalarına izin vermeyince, WeMo cihazlarının keşfi ve kontrolü için açık kaynaklı bir Python modülü olan pyWeMo aracılığıyla doğrudan cihaza bağlanmaya karar verdiler. Uygulamayı atlatmanın, daha uzun bir adı başarılı bir şekilde girmek için korkuluğun etrafından dolaşmalarına izin verdiğini gördüler.
“Kısıtlama, üretici yazılımı kodu tarafından değil, yalnızca uygulamanın kendisi tarafından uygulandı” dediler. “Bunun gibi girdi doğrulaması yalnızca ‘yüzey’ düzeyinde yönetilmemelidir.”
Fazla doldurulmuş ‘FriendlyName’ değişkeninin bellek yapısı tarafından nasıl ele alındığını gözlemleyen araştırmacılar, yığının meta verilerinin 80 karakterden uzun herhangi bir adla bozulduğunu gördüler. Bu bozuk değerler daha sonra sonraki yığın işlemlerinde kullanılıyordu ve bu da kısa çökmelere yol açıyordu. Analize göre bu, arabellek taşmasına ve sonuçta ortaya çıkan bellek yeniden tahsisini kontrol etme yeteneğine neden oldu.
Zeifman, “Günümüzde cihazların %99,9’unu oluşturan, herhangi bir cihaz üstü güvenlik olmadan bağlı cihazları kullanma riski hakkında iyi bir uyarı” diyor.
Kolay İstismara Dikkat Edin
Sternum, bir kavram kanıtı istismarı yayınlamıyor veya gerçek dünyadaki bir saldırı akışının pratikte nasıl görüneceğini listelemiyor olsa da Zeifman, güvenlik açığından yararlanmanın zor olmadığını söylüyor. Aygıt Internet’e açıksa, saldırganın ağ erişimine veya uzaktan Evrensel Tak-Çalıştır erişimine ihtiyacı olacaktır.
“Bunun dışında, çalıştırılabilir yığını olan bir aygıtta önemsiz bir arabellek taşması var,” diye açıklıyor. “Daha sert burçlar yıkıldı.”
Saldırıların Wemo’nun bulut altyapı seçeneği üzerinden de gerçekleştirilebileceğini kaydetti.
Zeifman, “Wemo ürünleri ayrıca, ağ adresi geçişini (NAT) atlatmak ve mobil uygulamanın prizi İnternet üzerinden çalıştırmasını sağlamak için tasarlanmış bir bulut protokolünü (temelde bir STUN tüneli) uyguluyor” diyor. “Wemo’nun bulut protokolünü çok derinlemesine incelememiş olsak da, bu saldırının bu şekilde uygulanması bizi şaşırtmaz.”
Bir yamanın olmaması durumunda, cihaz kullanıcılarının alabilecekleri bazı önlemler vardır; örneğin, Akıllı Fiş İnternet’e açık olmadığı sürece, saldırganın aynı ağa erişim elde etmesi gerekir, bu da istismarı daha karmaşık hale getirir.
Sternum, aşağıdaki sağduyu tavsiyelerini detaylandırdı:
- Wemo Smart Plug V2 UPNP bağlantı noktalarını doğrudan veya bağlantı noktası iletme yoluyla İnternet’e maruz bırakmaktan kaçının.
- Smart Plug V2’yi hassas bir ağda kullanıyorsanız, bunun doğru şekilde bölümlere ayrıldığından ve bu cihazın aynı alt ağdaki diğer hassas cihazlarla iletişim kuramayacağından emin olmalısınız.
IoT Güvenliği Gecikmeye Devam Ediyor
Araştırmadan çıkarılacak daha geniş sonuçlara gelince, bulgular, Nesnelerin İnterneti (IoT) sağlayıcılarının, kuruluşların herhangi bir akıllı cihaz kurarken dikkate alması gereken, tasarım gereği güvenlik konusunda hâlâ mücadele ettiğini gösteriyor.
“Bence bu hikayenin kilit noktası bu: Cihazlar herhangi bir cihaz koruması olmadan gönderildiğinde olan şey bu,” diye belirtiyor. “Bugün çoğu cihaz üreticisinin yaptığı gibi, yalnızca duyarlı güvenlik düzeltme ekine güveniyorsanız, iki şey kesindir: Birincisi, her zaman saldırganın bir adım arkasında olacaksınız ve ikincisi, bir gün bu yamaların gelmesi duracak.”
IoT cihazları, “masaüstlerimiz, dizüstü bilgisayarlarımız, sunucularımız vb. diğer varlıkların sahip olmasını beklediğimiz aynı düzeyde uç nokta güvenliği” ile donatılmalıdır, diyor. “Kalp monitörünüz oyun dizüstü bilgisayarından daha az güvenliyse, bir şeyler korkunç derecede ters gitti ve gitti.”