Slovakya merkezli BT güvenlik şirketi ESET’in dikkat çektiği araştırma, milyonlarca kablolu modemin uzaktan ele geçirilme riski altında olduğunu ortaya koyuyor. Siber saldırganlar, “Cable Haunt” adı verilen güvenlik açığını kullanarak hem modem üzerindeki veri trafiğine ulaşabiliyor hemde veri akışını kontrol edebiliyor.
Cable Haunt takma adıyla anılan ve “CVE-2019-19494” teknik tanımıyla takip edilen bu güvenlik açığının yakın zamanda Avrupa’daki neredeyse tüm kablolu modemleri etkilediğini ve hâlâ risk altında olan çok sayıda modem olduğu tahmin ediliyor.
Bu güvenlik açığını keşfeden ve bulgularını paylaşan Danimarka merkezli güvenlik danışmanlığı şirketi olan Lyrebirds araştırmacıları, konuyla ilgili şu açıklamayı yaptı: “Sadece Avrupa’da tahminen 200 milyon kablolu modem var. Test edilen neredeyse hiçbir modemin, ürün yazılımı güncellemesi olmadan güvende olmadığı anlaşıldı. Bu nedenle Avrupa’da savunmasız olan modem sayısının bu rakama yakın olduğu tahmin ediliyor.”
Kablolu modemlerle ilgili güvenlik açığı için yakın zamanda bazı internet hizmet sağlayıcılarına bu sorun hakkında bilgilendirme ve çözüme yönelik ürün yazılımı güncellemelerinin gönderildiği belirtiliyor. Ama yine de, küresel anlamda çok sayıda savunmasız modem olduğu yönünde güçlü şüpheler var.
Modemdeki Hayalet
Güvenlik açığı, yarı iletken şirketi Broadcom tarafından üretilen çiplerdeki spektrum çözümleyici aracını çalıştıran referans yazılımından kaynaklanıyor. Spektrum çözümleyici bileşeni, modemin kablo bağlantısındaki sorunları saptamak ve düzeltmekle görevli olan ürün yazılımından oluşuyor. Bu bileşen, çok sayıda kablolu modem üreticisi tarafından cihazlarının ürün yazılımlarında kullanıldığı için savunmasız modem sayısının da çok olması bundan kaynaklanıyor.
Spektrum çözümleyici sadece yerel ağda görüntülenebilir. Ancak saldırganlar Cable Hunt güvenlik açığını kullanarak dünyanın herhangi bir yerinden uzaktan erişim sağlayabilir.
Güvenlik araştırmacıları konuyla ilgili şu değerlendirmeyi yaptı: “Bu suistimal, koruma eksikliği, websocket istemcisinin düzgün yetkilendirilmemesi, varsayılan kimlik bilgileri ve spektrum çözümleyicisindeki bir programlama hatasından kaynaklanıyor. Söz konusu zayıflıklar, saldırgana tüm birim ve üzerinden geçen trafik üzerinde tam uzaktan kontrol olanağı verebilir. Saldırı hem kullanıcı hem de internet hizmet sağlayıcısı tarafından fark edilmeyebilir ve uzak sistem güncellemelerini göz ardı edebilir.”
Bu Güvenlik Açığıyla Ne Tür Kötü Eylemler Gerçekleştirilebilir?
Olası kötü amaçlı eylerler arasında DNS ayarlarında değişiklil yapmak, modem ürün yazılımını bir başkası ile değiştirmek, cihazları bir bootnet’e yönlendirmek veya özel bilgileri ele geçirmek için uzaktan Ortadaki Adam (Man in the Middle) saldırıları gerçekleştirmek yer alıyor.
Modemdeki açığı tespit edebilmek için bir POC saldırısı tasarlayan araştırmacı ekibi, bunu Sagemcom, Netgear, Arris, Compal ve Technicolor tarafından sunulan çok sayıda kablolu modemde başarıyla test etti. Test edilen modemlerden savunmasız oldukları onaylanan modemlerin ve ürün yazılımı sürümlerinin tam listesi cablehaunt.com web sitesinde yer alıyor. Ayrıca kullanıcıların, modemim tehdide karşı savunmasız olup olmadığını kontrol etmelerini sağlayan POC kodu da bu sayfada mevcut.
Hizmet Sağlayıcılarına Çok İş Düşüyor
Araştırmacılar, olabildiğince çok sayıda büyük internet hizmet sağlayıcısı ve üreticinin bilgilendirildiğini ve farklı düzeylerde başarı elde ettiklerini paylaştı: “İletişim kurulan internet hizmet sağlayıcılardan bazıları, ürün yazılımı güncellemelerini yayınladıklarını ya da yayınlıyor olduklarını bildirdi ama pek çoğu da hala güncellemeleri göndermedi.”
Kablolu modemlerini internet hizmet sağlayıcılarından alan kullanıcıların, henüz güncelleme almadılarsa büyük olasılıkla bu güncellemeyi internet hizmet sağlayıcılarının göndermesini beklemeleri gerekecektir.
Bu arada Broadcom, “referans kodunda ilgili düzeltmenin yapıldığını ve bu düzeltmenin Mayıs 2019’da müşterilerin kullanımına sunulduğunu″ bildirdi. Konuya olumlu tarafından bakıldığında, araştırmacılar Cable Haunt güvenlik açığından yararlandığını bildikleri devam eden bir saldırı olmadığını belirtti. Ama yine de bu açık, küçümsenecek bir konu değil.
Diğer haberlerimize buradan ulaşabilirsiniz!