Aiphone tarafından sunulan bir dizi popüler dijital kapı giriş sistemlerindeki bir güvenlik açığı, bilgisayar korsanlarının yalnızca bir mobil cihaz ve yakın alan iletişimi veya NFC etiketi kullanarak giriş sistemlerini ihlal etmesine olanak sağlayabilir.
Söz konusu cihazlar (GT-DMB-N, GT-DMB-LVN ve GT-DB-VN), Beyaz Saray ve Birleşik Krallık Parlamento Binaları dahil olmak üzere yüksek profilli müşteriler tarafından kullanılıyor.
Güvenlik açığı, bazı Aiphone kapı kilit sistemlerinde yanlış parola girilebilme sayısında bir sınır olmadığını tespit eden Norveçli güvenlik firması Promon’dan bir araştırmacı tarafından keşfedildi.
Yönetici parolasını bulduktan sonra, kötü niyetli kişi, yönetici parolasını içeren yeni bir NFC etiketinin seri numarasını tekrar sistemin onaylanmış etiketler günlüğüne enjekte edebilir.
Bir blog yazısı, “Bu, saldırgana hem daha sonra tuş takımına delinebilecek düz metin kodu, hem de herhangi bir düğmeye dokunmaya gerek kalmadan binaya erişmek için kullanılabilecek bir NFC etiketi verecek” dedi. güvenlik açığı açıkladı.
Aiphone sistemi girişimlerin günlüklerini tutmadığından, hack’in dijital izi yoktur.
Promon, Aiphone’u bu konuda ilk olarak Haziran 2021’de uyarmıştı. Şirket, o yılın 7 Aralık tarihinden önce kurulan sistemlerin tamir edilemediğini, ancak bu tarihten sonra inşa edilen sistemlerin, yapılabilecek şifre denemelerinin sayısını sınırlayan bir özellik içerdiğini söyledi.
bu promosyon raporu Aiphone, müşterilerini CVE-2022-40903 olarak izlenen güvenlik açığının varlığı konusunda uyardı.
Endişe verici üst düzey bulgulara rağmen, güvenlik açığını keşfeden Promon güvenlik araştırmacısı Cameron Lowell Palmer, bu tür bir IoT güvenlik gözetimini “oldukça tipik” olarak nitelendiriyor. İdari açıdan bakıldığında, NFC eklemek bir kazançtı, ancak sistemi bu yeni saldırı vektörüne maruz bıraktı, diye açıklıyor.
“Sistem bazı makul tasarım seçenekleriyle başladı ve NFC arayüzünün eklenmesiyle tasarım tehlikeli hale geldi” diye açıklıyor. “Bu ürün bana göre fiziksel güvenlik kavramına dayanıyor ve NFC eklendiğinde, binanın dışına temassız yüksek hızlı bir veri portu eklediler ve bu da öncülü ihlal etti.”
Brute Force NFC Erişimini Kimse Düşünmedi
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, kısma veya kilitleme özelliklerinin eksikliğinin, ürün tasarlanırken bir saldırganın NFC erişimini kaba kuvvetle zorlamaya çalışan bir saldırganı düşünmediğini gösterdiğini söylüyor.
“Ya da yaptılarsa, bir saldırganın bunu sahada yapma riskinin bu güvenlik özelliklerini atlayacak kadar düşük olduğuna inanıyorlardı” diye ekliyor.
Asıl soruların, doğası gereği savunmasız olan bu sistemlerden kaçının konuşlandırıldığı ve aynı derecede önemli olan, bu veya diğer satıcılardan başka hangi ürünlerin, bir kaba kuvvet saldırısını köreltmek için kısıtlama veya kilitleme zamanlayıcıları olmadan dijital erişimi kullandığı olduğunu söylüyor.
Palmer, NFC ve IoT’nin güvenliğini sağlamak için zorlu teknolojiler olduğunu ekliyor ve bu da, güvenlik için başkalarıyla işbirliği yapmayan satıcıların tehlikeli bir yolda yürüdüklerini düşündürüyor.
“Geliştiriciler ve şirketler ellerinden gelen en iyi ürünü yapmaya çalışıyorlar ki bu zaten zor” diyor. “Güvenlik gafları yapmak özellikle kolaydır, çünkü güvenlik genellikle onların uzmanlık alanı değildir ve çoğu durumda kullanıcı deneyimini doğrudan iyileştirmez.”
KnowBe4’teki veriye dayalı savunma savunucusu Roger Grimes daha sert ve güvenlik açığının Aiphone’un temel tehdit modellemesi bile yapmadığını gösterdiğini söylüyor.
“Güvenlik açısından beni tüm tasarımlarından şüphelendiriyor” diyor. “Bu sadece bu satıcıyla ilgili bir sorun değil. Hemen hemen istediğiniz herhangi bir satıcıyı veya ürünü adlandırabilirsiniz ve onlar da uygun tehdit modellemesini yapmıyorlar.”
IoT için Tasarımda Güvenlik Yok
Coalfire’da saha CISO’su ve yönetici danışmanı olan Jason Hicks, son yıllarda uzaktan erişim, IP üzerinden ses (VoIP) ve NFC gibi daha yeni kablosuz teknolojileri fiziksel güvenlik sistemlerine entegre etme yönünde bir baskı olduğunu açıklıyor.
“Bu, fiziksel erişim tasarımcılarının nasıl güvenli hale getirileceğini düşünmek zorunda kalmaya alışık olmadığı yeni saldırı vektörleri sunuyor” diyor. “BT ekipmanına uyguladığımız aynı temel güvenlik en iyi uygulamalarının bu sistemlere tutarlı bir şekilde genişletilmesi gerekiyor.”
Örneğin, “şifreleri bir düz metin dosyasında saklamak, bariz nedenlerle kaçınılması gereken bir şeydir” diyor.
Hicks, tehlikeye atılması pek fazla güvenlik sorunu yaratmayan birçok IoT cihazı olduğunu da ekliyor – ancak erişim kontrol sistemleri bunlardan biri değil. Buradaki bir hack, kayıp veya fiziksel zararla sonuçlanabilir.
Bu nedenle, satıcıların tüm geliştiricileri nasıl güvenli yazılım ve güvenli ürünler geliştirecekleri konusunda eğitmeleri gerekir.
“Güvenlik satıcılarının bana bir [physical] güvenlik ürünü, geliştiricilerini yazılım ve ürünleri güvenli bir şekilde nasıl geliştirecekleri konusunda eğitmez veya gerektirmez,” diyor Grimes. “Güvenli geliştirme konusunda eğitim almamış bir geliştiricinin doğal olarak bunu anlamasını nasıl bekleyebilirsiniz?”
Palmer, IoT şirketlerine basit adımlar bile atmalarını tavsiye ediyor: Örneğin, dışarıdan uzmanları işe alın ve cihazların güvenliğini düzenli olarak test etmelerini sağlayın.
Kuruluşlar için IoT Tehlikelerinden Kaçınmak Zor
Viakoo CEO’su Bud Broomhead, IoT’nin en hızlı büyüyen saldırı yüzeyini temsil ettiğini ve bunun için birçok neden olduğunu ve bunun, kullanıcıların genellikle güvenlik etkilerini göz ardı etmesi gerçeğinden başlayarak, olduğunu ekliyor.
“IoT cihazları tipik olarak BT tarafından değil iş kolu tarafından yönetilir, bu nedenle siber hijyeni sağlama konusunda hem beceri hem de bilgi eksikliği vardır” diyor.
Birçok IoT sisteminin bir sermaye harcaması olarak bütçelendiğini ancak güvenliklerini korumak için her zaman kendilerine tahsis edilen işletme bütçesine sahip olmadığını ekliyor.
“Manuel olarak yama yapmak çok zordur ve genellikle yeni olduklarında güncel olmayan bellenime sahiptirler ve uzun süre tedarik zincirinde bulunurlar” diyor.
Ayrıca, cihazın bu güvenlik açıklarını içerip içermediğini hızlı bir şekilde belirlemek için güvenlik açıkları içeren birçok açık kaynaklı yazılım kullanırlar ve yazılım malzeme listelerinden (SBOM’ler) yoksundurlar. Broomhead, genellikle benzer işlevleri yerine getiren birden fazla marka/model olduğunu, bu nedenle bir güvenlik açığı olduğunda birden fazla üreticinin yamaları sağlaması gerektiğini ekler.
“IoT güvenliğinin BT, CISO ofisi ve iş kolları dahil olmak üzere birden fazla disiplin arasında paylaşılabilmesi için bir kuruluş içindeki silolar arasında denetlenebilir uyumluluk gereksinimleri ve koordinasyon olması gerekir” diyor.
Hızla genişleyen bir IoT cihazı hacmini korumak için mücadele eden kuruluşlar için, IoT parmak izi, güvenlik ve yönetime yardımcı olabilir.