ConnectedIO'nun 3G/4G Yönlendiricilerindeki Yüksek Ciddiyetteki Kusurlar IoT Güvenliğine İlişkin Endişeleri Artırıyor - Dünyadan Güncel Teknoloji Haberleri

ConnectedIO'nun 3G/4G Yönlendiricilerindeki Yüksek Ciddiyetteki Kusurlar IoT Güvenliğine İlişkin Endişeleri Artırıyor - Dünyadan Güncel Teknoloji Haberleri

3G/4G yönlendiricilerindeki güvenlik açıkları binlerce dahili ağı ciddi tehditlere maruz bırakabilir, kötü aktörlerin kontrolü ele geçirmesine, trafiğe müdahale etmesine ve hatta Genişletilmiş Nesnelerin İnterneti (XIoT) nesnelerine sızmasına olanak tanıyabilir söz konusu Geçen hafta yayınlanan bir analizde Bently Nevada 3500 raf modeli kimlik doğrulama işlemini atlamak ve cihaza tam erişim sağlamak için kullanılabilir ve

Moshe, “Bu güvenlik açıkları istismar edilirse dünya çapında binlerce şirket için ciddi risk oluşturabilir, saldırganların şirketlerin işlerini ve üretimini kesintiye uğratmasına ve şirketlerin iç ağlarına erişmelerine olanak tanıyabilir” dedi

  • CVE-2023-33377 (CVSS puanı: 8 6) – İletişim protokolünün bir parçası olarak set güvenlik duvarı komutuna, saldırganların cihazlarda rastgele işletim sistemi komutları yürütmesine olanak tanıyan bir işletim sistemi komut ekleme güvenlik açığı

    Claroty’den Noam Moshe, “Bir saldırgan, bulut altyapısını tamamen tehlikeye atmak, uzaktan kod yürütmek ve tüm müşteri ve cihaz bilgilerini sızdırmak için bu kusurlardan yararlanabilir” dedi ”

    Sorunlara aşağıdaki CVE tanımlayıcıları atanmıştır:

    • CVE-2023-33375 (CVSS puanı: 8,6) – İletişim protokolünde, saldırganların cihazlar üzerinde kontrolü ele geçirmesine olanak tanıyan yığın tabanlı bir arabellek taşması güvenlik açığı
    • CVE-2023-33376 (CVSS puanı: 8,6) – İletişim protokolündeki ip tabloları komut mesajında, saldırganların cihazlarda rastgele işletim sistemi komutları yürütmesine olanak tanıyan bir argüman enjeksiyon güvenlik açığı

      Açıklama, şirketin ağa bağlı depolama (NAS) cihazlarında da bir takım kusurları ortaya çıkarmasıyla geldi

      Bu güvenlik açıklarının bir sonucu olarak, bir tehdit aktörü yalnızca sızdırılan IMEI numaralarını kullanarak kendi seçtiği herhangi bir cihazın kimliğine bürünmekle kalmayıp, aynı zamanda onları özel hazırlanmış MQTT mesajları aracılığıyla yayınlanan keyfi komutları yürütmeye zorlayabilir

      Bu, “olduğu gibi” bir uzaktan komutu yürüten “1116” işlem kodlu bir bash komutu aracılığıyla mümkün olur

      Nozomi Networks, “En ciddi senaryoda, bu kusurlar bir saldırganın cihazın güvenliğini tamamen ihlal etmesine ve dahili yapılandırmasını değiştirmesine olanak tanıyarak, izlenen makinelerde yanlış ölçümlere veya hizmet reddi saldırılarına yol açabilir

      ConnectedIO platformunun v2

      İletişim protokolünde de kusurlar ortaya çıkarıldı (ör ” söz konusu 0 ve önceki sürümlerini, özellikle de 4G ER2000 uç yönlendiricisini ve bulut hizmetlerini etkileyen eksiklikler zincirlenebilir ve saldırganların bulut tabanlı cihazlara doğrudan erişim gerektirmeden rastgele kod çalıştırmasına izin verebilir Bu komut işlem kodunu kullanarak, bir cihaza gönderildiğinde kodun yürütülmesiyle sonuçlanacak bir veri yükü oluşturabildik 1 Sinoloji Ve Batı Dijital Bu, onları taklit etmek ve kontrol etmek, aynı zamanda depolanan verileri çalmak ve kullanıcıları saldırgan tarafından kontrol edilen bir cihaza yönlendirmek için silah haline getirilebilir

      Aynı zamanda Baker Hughes’u etkileyen üç yama yapılmamış güvenlik açığının keşfinin ardından geldi MQTTHileli bir cihazı kaydetmek ve yönlendiricilerden gelen cihaz tanımlayıcılarını, Wi-Fi ayarlarını, SSID’leri ve şifreleri içeren MQTT mesajlarına erişmek için kullanılabilecek, sabit kodlu kimlik doğrulama bilgilerinin kullanımı da dahil olmak üzere, cihazlar ile bulut arasında kullanılan

      “Komutları gönderenin aslında yetkili bir verici olduğuna dair doğrulama eksik


      09 Eki 2023Haber odasıGüvenlik Açığı / IoT Güvenliği

      ConnectedIO’nun ER2000 uç yönlendiricilerinde ve bulut tabanlı yönetim platformunda, kötü amaçlı kod yürütmek ve hassas verilere erişmek için kötü niyetli aktörler tarafından kullanılabilecek çok sayıda yüksek önem dereceli güvenlik açıkları ortaya çıktı

      Moshe, “Doğru konuya yazabilmek dışında başka herhangi bir kimlik doğrulama biçimi gerektirmeyen bu komut, tüm cihazlarda rastgele komutlar yürütmemize olanak sağlıyor” diye açıkladı



      siber-2

    • CVE-2023-33378 (CVSS puanı: 8,6) – İletişim protokolündeki AT komut mesajında, saldırganların cihazlarda rastgele işletim sistemi komutları yürütmesine olanak tanıyan bir argüman ekleme güvenlik açığı