Security Analyst Summit 2025’te Kaspersky, bir otomotiv üreticisinin tüm bağlı araçlarına yetkisiz erişim sağlanmasına imkân veren ciddi bir güvenlik açığını ortaya çıkaran güvenlik denetimi sonuçlarını paylaştı.
Kaspersky’nin araştırmasına göre, bir taşeronun herkese açık uygulamasındaki sıfır-gün (zero-day) güvenlik açığından yararlanmak, araç telematik sisteminin kontrolünü ele geçirmeyi mümkün kılabiliyor ve bu durum sürücü ile yolcuların fiziksel güvenliğini tehlikeye atıyor. Örneğin, saldırganlar araç hareket halindeyken vites değiştirmeye zorlayabilir veya motoru kapatabilir. Bu bulgular, otomotiv sektöründeki potansiyel siber güvenlik zafiyetlerini gözler önüne sererken, daha güçlü güvenlik önlemlerinin alınması çağrılarını da beraberinde getiriyor.
Sızma Noktası: Üretici ve Taşeron Altyapısındaki Zafiyetler
Güvenlik denetimi uzaktan gerçekleştirildi ve üreticinin herkese açık servisleri ile taşeronun altyapısı hedef alındı. Kaspersky, birden fazla açık web servisi tespit etti. Özellikle, wiki uygulamasında (kullanıcıların içerik oluşturmasına, düzenlemesine ve yönetmesine imkân veren web tabanlı platform) bulunan sıfır-gün SQL enjeksiyon açığı sayesinde, araştırmacılar taşeron tarafındaki kullanıcıların şifre karmalarına erişebildi; bazı şifreler zayıf parola politikaları nedeniyle kolayca tahmin edilebiliyordu. Bu ihlal, taşeronun sorun takip sistemine erişim sağladı ve sistem (bir projedeki görev, hata veya sorunları yönetmek ve takip etmek için kullanılan bir yazılım aracı), üreticinin telematik altyapısına dair hassas yapılandırma bilgilerini içeriyordu; ayrıca bir dosyada üreticinin araç telematik sunucularından birine ait kullanıcı şifre karmaları da yer alıyordu. Modern araçlarda telematik, bağlı araçlardan hız, konum ve benzeri verilerin toplanmasını, iletilmesini, analiz edilmesini ve güvenli bir şekilde kullanılmasını sağlayan kritik bir teknolojidir.
Nihai Hedef: Aracın Kritik Sistemlerine Ulaşmak
Bağlı araç tarafında ise Kaspersky, yanlış yapılandırılmış bir güvenlik duvarı nedeniyle iç sunucuların internete açık hale geldiğini tespit etti. Daha önce ele geçirilen bir servis hesabı şifresi kullanılarak sunucunun dosya sistemine erişildi ve başka bir taşerona ait kimlik bilgileri bulundu; bu durum telematik altyapısı üzerinde tam kontrol sağlıyordu. En endişe verici bulgu, araştırmacıların, Telematik Kontrol Ünitesi’ne (TCU) değiştirilmiş donanım yazılımı (firmware) yüklemeye olanak tanıyan bir firmware güncelleme komutu keşfetmesiydi. Bu, aracın CAN (Controller Area Network) veri yoluna – motor ve sensörler gibi araç içi kritik bileşenleri birbirine bağlayan sistem – erişim sağladı. Sonrasında, motor, şanzıman gibi çeşitli diğer sistemlere de erişim sağlandı. Bu durum, sürücü ve yolcu güvenliğini ciddi şekilde tehlikeye atabilecek kritik araç fonksiyonlarının manipüle edilmesine olanak tanıyordu.
Kaspersky ICS CERT Güvenlik Açığı Araştırma ve Değerlendirme Başkanı Artem Zinenko konuyla ilgili şunları söylüyor:
“Bu güvenlik açıkları, otomotiv sektöründe sık rastlanan sorunlardan kaynaklanıyor: herkese açık web servisleri, zayıf şifreler, iki faktörlü doğrulamanın eksikliği ve şifrelenmemiş hassas veri depolama. Tek bir taşeron zafiyeti, tüm bağlı araçların güvenliğini tehdit edebilir. Otomotiv sektörü, özellikle üçüncü taraf sistemlerde sağlam siber güvenlik uygulamalarını önceliklendirmeli ve sürücüleri korumalıdır.”
Kaspersky, taşeron firmaların siber güvenlik seviyesini yükseltmek için kapsamlı önerilerde bulunuyor: web servislerine yalnızca VPN üzerinden erişim sağlamak, servisleri kurumsal ağdan izole etmek, sıkı parola politikaları uygulamak, iki faktörlü kimlik doğrulama (2FA) kullanmak, hassas verileri şifrelemek ve logları gerçek zamanlı izleme için SIEM sistemleriyle entegre edilmesi yer alıyor.
Kaspersky, otomotiv üreticilerine yönelik tavsiyelerini ise bir dizi kritik güvenlik önlemi olarak paylaştı. Bu önlemler arasında, telematik platform erişiminin araç ağının diğer bölümlerinden ayrıştırılması; ağ etkileşimlerinde yalnızca izin verilen işlemlere olanak tanıyan ‘izin listeleri’nin (allowlist) kullanılması ve SSH parola doğrulamasının devre dışı bırakılması yer alıyor. Ayrıca, tüm servislerin minimum ayrıcalık ilkesiyle çalıştırılması, Telematik Kontrol Ünitesi’ne (TCU) gönderilen komutların kimlik doğrulamasının ve bütünlüğünün garanti altına alınması ve güvenlik olaylarının gerçek zamanlı takibi için SIEM sistemleri ile entegrasyonun sağlanması öneriliyor.
Kaynak : 