IoT yani internet bağlı cihazların –başta modemler olmak üzere– pek de güvenli olmadığı, siber saldırılarda kullanılabileceği 10 yıldır konuşuluyor [1]. Dünyanın en büyük saldırılarından birisi de bu güvenliği zayıf modemler kullanılarak yapıldı [2]. Şimdi dünyamızda IoT ve bağlı cihazlar sayıca büyürken, kablosuz iletişimde güvenlik hala sorun.
ABD’de Bağımsız Güvenlik Değerlendiricilerinin (ISE) 13 ev ofis/KOBi (SOHO) yönlendiricisi ve Ağa Bağlı depolama (NAS) aygıtlarında yaptığı inceleme sonucunda “SOHOpelessly Broken 2.0” isimli bir araştırma yayınladılar. Bu araştırma, 13 cihazda muhtemelen milyonları etkileyen toplam 125 farklı güvenlik açığı gösterdi.
Araştırmacılar tarafından test edilen SOHO yönlendiricileri ve NAS cihazları şöyle sıralanıyor;
- bizon,
- Synology,
- TerraMaster,
- Zyxel,
- Drobo,
- ASUS ve bağlı ortaklığı Asustor,
- Seagate,
- QNAP,
- Lenovo,
- Netgear,
- Xiaomi,
- Zioncom (TOTOLINK)
Güvenlik araştırmacılarına göre, test ettikleri bu 13 yaygın kullanılan cihazın hepsinde, uzaktaki bir saldırganın uzaktan kabuk erişimi veya etkilenen cihazın yönetim paneline erişmesine izin verebilecek en az bir web uygulaması güvenlik açığı var.
Bu güvenlik açıkları, siteler arası komut dosyası çalıştırma (XSS), siteler arası istek üzerine sahtecilik (CSRF), arabellek taşması, işletim sistemi komut enjeksiyonu (OS CMDi), kimlik doğrulama atlaması, SQL enjeksiyonu (SQLi) ve dosya yükleme yolu güvenlik açıkları olabilir.
Araştırmacılar, cihazların 12’sinde root kernel’ı başarıyla hacklediklerini ve etkilenen cihazlar üzerinde tam kontrole sahip olmalarına izin verdiklerini, bunlardan 6’sının saldırganların bir cihaz üzerinde uzaktan ve kimlik doğrulama olmadan tam kontrol sahibi olmalarını sağlayacak kusurları içerdiğini söyledi.
Bu etkilenen iş ve ev yönlendiricileri Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000 ve TOTOLINK A3002RU’dur.
[1] Milyonlarca Ev Tipi Router Hack Riski Altında
[2] Almanya’da Hacker Saldırısı 900.000 Modem Üzerinden Büyük Bir Erişim Krizi Yarattı