Yapılan bir araştırma, milyonlarca kablolu modemin uzaktan ele geçirilme riski altında olduğunu ortaya koydu. ‘Cable Haunt‘ adı verilen güvenlik açığı nedeniyle siber saldırganlar, modem üzerinden geçen tüm veri trafiğine ulaşabiliyor ve kontrol edebiliyor.
Cable Haunt takma adlı, teknik tanımıyla ‘CVE-2019-19494‘ olarak takip edilen bu güvenlik açığının yakın zamanda Avrupa’daki neredeyse tüm kablolu modemleri etkilediği ve hâlâ risk altında olan çok sayıda modem olduğu tahmin ediliyor.
Kablolu modemler için güvenlik açığı!
Peki bu nasıl oldu? Kablolu modemler için güvenlik açığını keşfeden ve bulgularını paylaşan Danimarka merkezli güvenlik danışmanlığı şirketi Lyrebirds araştırmacıları, şu açıklamayı yaptı:
“Sadece Avrupa’da tahminen 200 milyon kablolu modem var. Test edilen neredeyse hiçbir modemin, ürün yazılımı güncellemesi olmadan güvende olmadığı anlaşıldı. Bu nedenle Avrupa’da savunmasız olan modem sayısının bu rakama yakın olduğu tahmin ediliyor.”
Dünya çapında daha fazla sayıda savunmasız modem olduğu yönünde güçlü şüpheler var.
Modemdeki hayalet!
Güvenlik açığı, yarı iletken şirketi Broadcom tarafından üretilen çiplerdeki spektrum çözümleyici aracını çalıştıran referans yazılımından kaynaklanıyor. Modemin kablo bağlantısındaki sorunları saptamak ve düzeltmekle görevli olan spektrum çözümleyici bileşeni, çok sayıda kablolu modem üreticisi tarafından cihazlarının ürün yazılımlarında kullanılıyor. Savunmasız modem sayısının çok büyük olması bundan kaynaklanıyor.
Spektrum çözümleyici yerel ağda görünür olsa da, saldırganlar dünyanın herhangi bir yerinden uzaktan erişim için Cable Haunt güvenlik açığını suistimal edebiliyor.
Araştırmacılar şu değerlendirmeyi yaptı:
“Bu suistimal, koruma eksikliği, websocket istemcisinin düzgün yetkilendirilmemesi, varsayılan kimlik bilgileri ve spektrum çözümleyicisindeki bir programlama hatasından kaynaklanıyor. Söz konusu zayıflıklar, saldırgana tüm birim ve üzerinden geçen trafik üzerinde tam uzaktan kontrol olanağı verebilir. Saldırı hem kullanıcı hem de internet hizmet sağlayıcısı tarafından fark edilmeyebilir ve uzak sistem güncellemelerini göz ardı edebilir.”
Hangi kötü amaçlı eylemler gerçekleştirilebilir?
Olası kötü amaçlı eylemler arasında DNS ayarlarını kurcalamak, modem ürün yazılımını bir başkasıyla değiştirmek, cihazları bir botnet’e yönlendirmek ya da özel bilgileri yakalamak amacıyla uzaktan Ortadaki Adam (Man in the Middle) saldırıları gerçekleştirmek yer alıyor.
Araştırma ekibi, modemlerdeki açığı tespit edebilmek amacıyla bir POC saldırısı tasarladı ve bunu Sagemcom, Netgear, Arris, Compal ve Technicolor tarafından sunulan çok sayıda kablolu modemde başarıyla test etti. Savunmasız oldukları onaylanan modemlerin ve ürün yazılımı sürümlerinin tam listesi cablehaunt.com web sitesinde yer alıyor. Kullanıcıların, belirli bir kablolu modemin tehdide karşı savunmasız olup olmadığını kontrol etmelerini sağlayan POC kodu da bu sayfada mevcut.
Siber saldırı riskine karşı ne yapılabilir?
Araştırmacılar, olabildiğince çok sayıda büyük internet hizmet sağlayıcısı ve üreticinin bilgilendirildiğini ve farklı düzeylerde başarı elde ettiklerini paylaştı: “İletişim kurulan internet hizmet sağlayıcılardan bazıları, ürün yazılımı güncellemelerini yayınladıklarını ya da yayınlıyor olduklarını bildirdi ama pek çoğu da hala güncellemeleri göndermedi.”
Kablolu modemlerini internet hizmet sağlayıcılarından alan kullanıcıların, henüz güncelleme almadılarsa büyük olasılıkla bu güncellemeyi internet hizmet sağlayıcılarının göndermesini beklemeleri gerekecek.
Bu arada Broadcom, “referans kodunda ilgili düzeltmenin yapıldığını ve bu düzeltmenin Mayıs 2019’da müşterilerin kullanımına sunulduğunu″ bildirdi. Konuya olumlu tarafından bakıldığında, araştırmacılar Cable Haunt güvenlik açığından yararlandığını bildikleri devam eden bir saldırı olmadığını belirtti. Ama yine de bu açık, küçümsenecek bir konu değil.