İsrail şirketi JSOF uzmanları, yüzlerce milyonlarca Nesnelerin İnterneti (IoT) cihazını etkileyen 19 sıfır gün güvenlik açığı keşfetti. Bu durumun en kötü yanı, bazı cihazların hiçbir zaman güncelleme alamayacak olmasıdır. Tüm güvenlik açıkları, şirketin yirmi yılı aşkın bir süredir geliştirdiği Treck Inc.’in TCP/IP kütüphanesinde bulundu. Güvenlik açıkları kümesine Ripple20 adı verildi.
Bu durum sizi nasıl etkiler?
Treck’i veya TCP/IP kütüphanesini hiç duymamış olabilirsiniz, ancak etkilenen cihaz ve satıcıların sayısı göz önüne alındığında şirket ağınızda muhtemelen en az bir tane bulunuyor. TCP/IP kütüphanesinde her türlü Nesnelerin İnterneti çözümü yer alıyor. Bu da savunmasız Nesnelerin İnterneti cihazlarına ev ve ofis yazıcılarından endüstriyel ve tıbbi ekipmanlara kadar olan öğelerin dahil olduğu anlamına geliyor.
Treck’in oluşturulması, cihazların İnternet ile etkileşime girmesine izin veren düşük seviyeli bir kütüphanedir. Son 20 yılda, ilk sürümün piyasaya sürülmesinden bu yana kütüphane çok sayıda şirket tarafından kullanıldı. Çoğu zaman hazır bir kütüphane almak, şirketler için kendi kütüphanenizi geliştirmekten daha kolaydır. Bazı şirketler, bu kütüphaneleri basitçe uyguladı fakat diğer şirketler ihtiyaçlarına uyacak şekilde kütüphaneleri değiştirdiler veya diğer kütüphanelere gömdüler.
Ayrıca, araştırmacılar Ripple20’den etkilenen şirketleri ararken, kütüphanenin orijinal alıcısının adını değiştirdiği birkaç durum buldular. Bazı durumlarda ise başka bir şirket tarafından devrelanmıştır. Bu nedenle, bu kütüphaneyi kullanan gerçek cihaz sayısını değerlendirmek kolay değildir. “Yüz milyonlarca” kabaca belirlenmiş bir ön tahmindir. Milyarlarca bile olabilir.
Bu oldukça karmaşık tedarik zinciri, bazı cihazlara hiçbir zaman yama yapılamamasının nedenidir.
Güvenlik açıkları nelerdir ve nasıl tehlikelidir?
Ripple20 şemsiye adı, değişen derecelerde kritiklikte toplam 19 güvenlik açığını kapsar. Araştırmacılar henüz tüm teknik detayları açıklamadı fakat yaz sonunda bir Black Hat konferansında yapmayı planlıyorlar. Bununla birlikte, güvenlik açıklarının en az dördünün kritik olduğu ve CVSS puanının 9.0’dan yüksek olduğu ediliyor.
Kütüphanenin en son sürümünde bulunmayan dört güvenlik açığı hala cihazlarda kullanılan önceki yinelemelerde görünüyor. Kütüphane güvenlik dışındaki nedenlerle güncellendi ve birçok tedarikçi eski sürümleri kullanmaya devam etti.
JSOF’a göre, bu güvenlik açıklarından bazıları yıllarca fark edilmeden gizlenen saldırganların bir cihazın tam kontrolünü ele geçirmesine ve yazıcılardan veri çalmak veya cihaz davranışını değiştirmek için kullanmasına izin verir. İki kritik açık, rastgele kodun uzaktan yürütülmesine izin verir. Güvenlik açıklarının bir listesi ve video demosu araştırmacıların internet sitesinde bulunuyor.
Peki ne yapmalı
Treck TCP/IP kitaplığını kullanan şirketler için araştırmacılar, geliştiricilere başvurmanızı ve kitaplığı en son sürüme güncellemenizi öneriyor. Bu mümkün değilse, cihazlardaki tüm savunmasız işlevleri devre dışı bırakın.
Günlük işlerinde savunmasız cihazlar kullanan şirketlere gelince, bu şirketler gözlerini korkutan bir görevle karşı karşıyadırlar. Başlangıçta kullandıkları herhangi bir ekipmanda güvenlik açıklarının olup olmadığını belirlemeleri gerekir. Bunu yapmak göründüğü kadar basit değildir ve bölgesel CERT merkezlerinin veya satıcılarının yardımını gerektirebilir. Ayrıca, şirketlere aşağıdakiler önerilir:
- Tüm cihazların ürün yazılımını güncelleyin (yeni güvenlik açıklarından bağımsız olarak her zaman önerilir).
- Kritik Nesnelerin İnterneti cihazlarının İnternet erişimini en aza indirin;
- Ofis ağını bu tür cihazların kullanıldığı ağlardan ayırın (unutulmaması gereken ipucu: Ne olursa olsun bunu her zaman yapın);
- Nesnelerin İnterneti cihazlarının kullanıldığı ağlardaki DNS proxy’lerini yapılandırın.
Bizim açımızdan, şirket ağındaki anormal etkinliği tespit edebilen güvenilir bir güvenlik çözümü kullanmanızı öneririz. Örneğin, bu etkinlikleri tespit etmek Kaspersky Threat Management and Defense çözümümüzün birçok faydasından biridir.