Güvenlik araştırmacıları dokuz popüler WiFi yönlendiricisini analiz etti ve en son ürün yazılımını çalıştırırken bile içlerinde toplam 226 potansiyel güvenlik açığı buldu.
Test edilen yönlendiriciler Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology ve Linksys tarafından yapılmıştır ve milyonlarca kişi tarafından kullanılmaktadır.
Güvenlik açıklarının sayısı açısından en öndekiler, 32 kusuru olan TP-Link Archer AX6000 ve 30 güvenlik hatası bulunan Synology RT-2600ac’dir.
Test süreci
IoT Inspector’daki araştırmacılar, güvenlik testlerini CHIP dergisi ile işbirliği içinde gerçekleştirdi ve çoğunlukla küçük firmalar ve ev kullanıcıları tarafından kullanılan modellere odaklandı.
IoT Inspector’ın CTO’su ve Kurucusu Florian Lukavsky, BleepingComputer’a e-posta yoluyla verdiği demeçte, “Chip’in yönlendirici değerlendirmesi için satıcılar onlara en son ürün yazılımı sürümüne yükseltilen mevcut modelleri sağladı.” dedi.
“Ürün yazılımı sürümleri IoT Inspector tarafından otomatik olarak analiz edildi ve 5.000’den fazla CVE ve diğer güvenlik sorunları için kontrol edildi.”
Bulguları, yönlendiricilerin çoğunun, aşağıdaki tabloda gösterildiği gibi, en son ürün yazılımını kullanırken bile kamuya açık güvenlik açıklarına karşı hala savunmasız olduğunu gösterdi.
Tüm kusurlar aynı riski taşımasa da, ekip test edilen modellerin çoğunu etkileyen bazı yaygın sorunlar buldu:
- Ürün yazılımında eski Linux çekirdeği
- Güncelliğini yitirmiş multimedya ve VPN işlevleri
- BusyBox’ın eski sürümlerine aşırı güvenme
- “Yönetici” gibi zayıf varsayılan parolaların kullanımı
- Düz metin biçiminde kodlanmış kimlik bilgilerinin varlığı
IoT Inspector CEO’su Jan Wendenburg, bir yönlendiricinin güvenliğini sağlamanın en önemli yollarından birinin cihazı ilk yapılandırdığınızda varsayılan şifreyi değiştirmek olduğunu kaydetti.
“İlk kullanımda parolaları değiştirmek ve otomatik güncelleme işlevini etkinleştirmek, cihaz ister evde ister şirket ağında kullanılsın, tüm IoT cihazlarında standart bir uygulama olmalıdır.” Açıkladı Wendenburg’da.
“Üreticiler tarafından getirilen güvenlik açıklarının yanı sıra en büyük tehlike, ‘tak, çal ve unut’ mottosna göre bir IoT cihazı kullanmaktır.”
Şifreleme anahtarını ayıklama
Araştırmacılar bulguları hakkında çok fazla teknik ayrıntı yayınlamadılar, bir vaka dışında şifreleme anahtarının çıkarılması D-Link yönlendirici bellenim görüntüleri için.
Ekip, D-Link DIR-X1560’ta yerel ayrıcalıklar kazanmanın ve fiziksel UART hata ayıklama arabirimi üzerinden kabuk erişimi elde etmenin bir yolunu buldu.
Daha sonra, yerleşik BusyBox komutlarını kullanarak tüm dosya sistemi attılar ve ardından şifre çözme yordamı için ikili sorumluyu bulup bulup bulmadılar.
Araştırmacılar, ilgili değişkenleri ve işlevleri analiz ederek, sonunda bellenim şifrelemesi için kullanılan AES anahtarını çıkardılar.
Bu anahtarı kullanan bir tehdit aktörü, cihazdaki doğrulama kontrollerini geçirmek için kötü amaçlı ürün yazılımı görüntü güncellemeleri gönderebilir ve yönlendiriciye kötü amaçlı yazılım yerleyebilir.
Bu tür sorunlar, yerel olarak depolanan görüntülerin güvenliğini sağlayan tam disk şifreleme ile çözülebilir, ancak bu uygulama yaygın değildir.
Üreticiler hızlı bir şekilde yanıt verdi
Etkilenen tüm üreticiler araştırmacıların bulgularına yanıt verdi ve ürün yazılımı yamalarını yayınladı.
CHIP’in yazarı Jörg Geiger yönlendirici satıcılarının çalışma grubu tarafından tanımlanan güvenlik kusurlarının çoğunu ele aldığını, ancak tümlerini ele almadığını belirtti.
Araştırmacılar Bleeping Computer’a düzeltme eki yüklenmemiş kusurların çoğunlukla daha düşük öneme sahip güvenlik açıkları olduğunu söylediler. Ancak, güvenlik güncelleştirmelerinin bildirilen sorunları düzelttiğini doğrulamak için hiçbir takip testi yapılmadığını açıkladılar.
CHIP’e (çevrilen) satıcı yanıtları şunlardı:
- Asus: Asus analizin her noktasını inceledi ve bize ayrıntılı bir cevap sundu. Asus, eski BusyBox sürümünü yamaladı ve “curl” ve web sunucusu için güncellemeler de var. Parola sorunlarının, işlemin terim olduğunda kaldırdığı geçici dosyalar olduğuna işaret edildiiçine. Risk oluşturmuyorlar.
- D-Link: D-Link bilgi için bize kısaca teşekkür etti ve bahsedilen sorunları gideren bir ürün yazılımı güncellemesi yayınladı.
- Edimax: Edimax sorunları kontrol etmek için çok fazla zaman ayırmış gibi görünmüyor, ancak sonunda bazı boşlukları düzelten bir ürün yazılımı güncellemesi vardı.
- Linksys: Linksys, “yüksek” ve “orta” olarak sınıflandırılan tüm konularda bir pozisyon almıştır. Varsayılan parolalar gelecekte önlenecektir; kalan sorunlar için bir bellenim güncelleştirmesi vardır.
- Netgear: Netgear’da çok çalıştılar ve tüm sorunlara yakından baktılar. Netgear bazı “yüksek” sorunları daha az sorun olarak görüyor. DNSmasq ve iPerf için güncellemeler var, önce bildirilen diğer sorunlar gözlemlenmelidir.
- Synology: Synology, Linux çekirdeğinde büyük bir güncelleme ile bahsettiğimiz sorunları ele ediyor. BusyBox ve PHP yeni sürümlere güncellenecek ve Synology yakında sertifikaları temizleyecek. Bu arada, sadece yönlendiriciler değil, aynı zamanda diğer Synology cihazlarından da yararlanır.
- TP-Bağlantı: BusyBox, CURL ve DNSmasq güncellemeleri ile TP-Link birçok sorunu ortadan kaldırır. Yeni bir çekirdek yok, ancak işletim sistemi için 50’den fazla düzeltme planlıyorlar
Raporda belirtilen modellerden herhangi birini kullanıyorsanız, kullanılabilir güvenlik güncelleştirmelerini uygulamanız, “otomatik güncelleştirmeleri” etkinleştirmeniz ve varsayılan parolayı benzersiz ve güçlü bir parolayla değiştirmeniz önerilir.
Ayrıca, uzaktan erişimi, UPnP’yi (Evrensel Tak ve Kullan) ve wps (WiFi Korumalı Kurulum) işlevlerini etkin olarak kullanmıyorsanız devre dışı bırakmalısınız.
Bleeping Computer, yukarıdakiler hakkında yorum isteyen tüm etkilenen üreticilerle iletişime geçti ve yanıtlarını alır almaz bu parçayı güncelleyeceğiz.