Garrett Metal Dedektörlerindeki bir ağ bileşeninde, uzaktaki saldırganların kimlik doğrulama gereksinimlerini atlamasına, metal dedektörü yapılandırmalarında değişiklik yapmasına ve hatta cihazlarda rastgele kod yürütmesine izin verebilecek bir dizi güvenlik açığı ortaya çıkarıldı.
Cisco Talos, “Bir saldırgan, alarmın tetiklenip tetiklenmediği veya kaç ziyaretçinin geçtiği gibi metal dedektöründeki istatistikleri uzaktan izlemek için bu modülü manipüle edebilir.” kayıt edilmiş geçen hafta yayınlanan bir açıklamada. “Ayrıca, bir cihazın hassasiyet düzeyini değiştirmek gibi, bu metal dedektörlerine güvenen kullanıcılar için potansiyel olarak bir güvenlik riski oluşturan yapılandırma değişiklikleri de yapabilirler.”
Talos güvenlik araştırmacısı Matt Wiseman, bu güvenlik açıklarını 17 Ağustos 2021’de keşfedip bildirdiği için itibar kazandı. Yamalar, satıcı tarafından 13 Aralık 2021’de yayınlandı.
Kusurlar Garrett’ta bulunur iC ModülüBu, kullanıcıların bir bilgisayar kullanarak Garrett PD 6500i veya Garrett MZ 6100 gibi geçişli metal dedektörleriyle kablolu veya kablosuz olarak iletişim kurmasını sağlar. Müşterilerin cihazları gerçek zamanlı olarak uzak bir konumdan kontrol etmelerini ve izlemelerini sağlar.
Güvenlik açıklarının listesi aşağıdadır –
iC Modülü CMA sürüm 5.0’da yukarıda bahsedilen kusurların başarılı bir şekilde kullanılması, bir saldırganın kimliği doğrulanmış bir kullanıcının oturumunu ele geçirmesine, cihazdaki rastgele dosyaları okumasına, yazmasına veya silmesine ve daha da kötüsü uzaktan kod yürütülmesine yol açabilir.
Güvenlik açıklarının ciddiyeti ışığında, kullanıcıların en kısa sürede bellenimi en son sürümüne güncellemeleri önemle tavsiye edilir.
.
siber-2