Yönlendirici üreticisi AVM, Eylül ayı başlarında birçok Fritzbox modeli için “gerekli kararlılık ve güvenlik güncellemelerini” daha fazla ayrıntı vermeden yayınlayarak büyük ilgi gördü. Bu, neredeyse 15 yıl önce piyasaya sürülen Fritzbox 7390 gibi eski yönlendiricilerin güncellemelerini bile içeriyor. Bu, üreticinin yönlendiricilerinin güvenliğini çok ciddiye aldığını ancak güncellemelerin ciddi bir güvenlik sorununu da ortadan kaldırdığını gösteriyor.
Duyuru
Güncellemelere gelince AVM, kurulumun genellikle otomatik olarak yapıldığını açıkladı. Üretici tarafından belirtilen güncelleme ayarlarını değiştiren ve bu nedenle yönlendiricilerine otomatik olarak korumalı ürün yazılımı sağlanmayan müşterilerin “FRITZ!OS’un güncel sürümünü derhal yüklemeleri önerilir”. Şirket ayrıntıları yalnızca “daha sonraki bir tarihte” açıklayacak.
Bu iletişim stratejisi güvenlik çevrelerinde oldukça tartışmalı çünkü kullanıcılar ve yöneticiler karanlıkta kalıyor. Güvenlik açığı var mı? Eğer öyleyse, zaten istismar ediliyor mu? Hangi cihazlar ve yapılandırmalar etkilendi? AVM’ye sorduğumuz açık soruları netleştirmek için. Ayrıca hızlı bir şekilde geri bildirim aldık, ancak umduğumuz yanıtları alamadık: “İhtiyati istikrar ve güvenlik bizim için çok önemli. Lütfen şu anda daha fazla bilgi vermek istemediğimizi anlayın.”
Ancak mevcut durumla ilgili internette zaten kamuoyunun erişebileceği pek çok ayrıntı var. En güvenilir kaynak, 5 Eylül’de WID-SEC-2023-2262 Tavsiye Kararını yayınlayan federal yetkililerin Bilgisayar Acil Durum Müdahale Ekibinin Uyarı ve Bilgi Servisidir (CERT-Bund). Sonuç olarak, yüksek önem derecesine sahip bir Fritzbox güvenlik açığı (CVSS taban puanı 10 üzerinden 7,3), uzaktan (uzaktan) “belirtilmemiş bir saldırıya” izin veriyor. Saldırgan daha sonra bu güvenlik açığından İnternet üzerinden yararlanabilir. Bildirime göre FritzOS’un 7.57’den önceki tüm sürümleri etkileniyor. Bu nedenle bu, tüm Fritzbox yönlendiricilerini etkileyen ciddi bir güvenlik sorunudur.
İtalyanca bilgilendirici meraklar
Daha fazla arka plan bilgisi üzerine spekülasyonlar İtalyan FibraClick forumunda bulunabilir. Burada kullanıcılar sağlayıcılar ve erişim teknolojileri hakkında bilgi alışverişinde bulunurlar. İlk cihaz yazılımı güncellemelerinin yayınlanmasından bir haftadan fazla bir süre önce, Fritzbox 7590’ın ciddi bir güvenlik açığı olduğu iddiası ve ona yönelik saldırılar hakkında bir makale yayınlandı. Kullanıcı edofullo, bunu endüstriyel ortamlarda keşfettiğini ve güvenlik açığının diğer Fritzbox’ları da etkilemesinin göz ardı edilemeyeceğini yazıyor. Saldırganların “cihazın yapılandırmasını değiştirerek muhtemelen İnternet bağlantı noktalarını açması” mümkündür.
Açıklanan saldırılarda çevrimiçi erişim verileri silinmiş ve yönlendiriciler internetten izole edilmiş olacaktı. Ayrıca, web arayüzüne erişim verileri değiştirilmiş olacak ve böylece kullanıcılar artık AVM yönlendiricilerini yapılandıramayacaktı. edofullo ayrıca AVM’den olduğu söylenen İngilizce bir iletişimden de bahsediyor. Sonuç olarak yönlendirici üreticisi Fritz kutularını bu arızalarla inceledi. Her şeyden önce, web arayüzüne standart HTTPS bağlantı noktası 443 aracılığıyla İnternet’ten erişilebiliyordu.
Büyük güncellemeler
FibraClick forumundaki tartışma kızışırken AVM durumu kontrol altında tutmak için her şeyi yapardı. Bilindiği gibi 4 Eylül’de sadece Fritzbox 7590 için değil, birçok yönlendirici için ilk “kararlılık ve güvenlik güncellemeleri” yayınlandı. Üretici artık bazı Fritz tekrarlayıcıların “kararlılığını ve güvenliğini de artırdı”.
Peki bu özellikle ne anlama geliyor? Yanıt, FritzOS 7.57’nin güvenli sürümünü önceki sürümle karşılaştıran bir ihbarcıdan geldi. Bu aynı zamanda saldırganlar için de yaygın bir uygulamadır: Kamuya açık dosyalardaki değişikliklere dayanarak, uzman bir göz, üreticiden herhangi bir bilgi almadan güvenlik açığı bulunan kodu hızlı bir şekilde tespit edebilir.
Uzaktan bakımın devre dışı bırakılmasına rağmen savunmasız
Ve böylece, birkaç saat sonra ihbarcımız güvenlik açığıyla ilgili tüm ayrıntıları buldu. Bu bilgiyi kullanarak, güvenlik açığı hakkında halihazırda dolaşan bilgileri doğrulayabildik. Saldırıları kolaylaştırabilecek yeni ayrıntıları yayınlamadığımızı söylemeye gerek yok. Sadece şu: Güncellemeler, görünüşe göre web sunucusuna, saldırganların Fritzbox yapılandırmasının üzerine yazmasına olanak tanıyan bir güvenlik açığı ekliyor. Güvenlik açığı, bağlantı noktası kümesinden bağımsız olarak kullanılabilir ve 7590 dışındaki Fritzbox modellerini ve hatta tekrarlayıcıları da etkileyebilir.
Ancak ihbarcımızın en önemli bulgusu, web arayüzüne uzaktan erişim devre dışı bırakılsa bile güvenlik açığından yararlanılabileceğidir. Bu amaçla, saldırganın kurbanını örneğin Siteler Arası İstek Sahteciliği (CSRF) veya yalnızca bir yönlendirme yoluyla iç ağdaki web arayüzünü işaret eden bir web sitesine yönlendirmesi yeterlidir. Bu nedenle güvenlik önlemi olarak web arayüzüne çevrimiçi erişimin devre dışı bırakılması yeterli değildir. Uzun ve karmaşık bir giriş şifresi bile saldırıya karşı koruma sağlamaz çünkü saldırganın herhangi bir şifreye ihtiyacı yoktur.
Haberin Sonu
Duyuru
Güncellemelere gelince AVM, kurulumun genellikle otomatik olarak yapıldığını açıkladı. Üretici tarafından belirtilen güncelleme ayarlarını değiştiren ve bu nedenle yönlendiricilerine otomatik olarak korumalı ürün yazılımı sağlanmayan müşterilerin “FRITZ!OS’un güncel sürümünü derhal yüklemeleri önerilir”. Şirket ayrıntıları yalnızca “daha sonraki bir tarihte” açıklayacak.
Bu iletişim stratejisi güvenlik çevrelerinde oldukça tartışmalı çünkü kullanıcılar ve yöneticiler karanlıkta kalıyor. Güvenlik açığı var mı? Eğer öyleyse, zaten istismar ediliyor mu? Hangi cihazlar ve yapılandırmalar etkilendi? AVM’ye sorduğumuz açık soruları netleştirmek için. Ayrıca hızlı bir şekilde geri bildirim aldık, ancak umduğumuz yanıtları alamadık: “İhtiyati istikrar ve güvenlik bizim için çok önemli. Lütfen şu anda daha fazla bilgi vermek istemediğimizi anlayın.”
Ancak mevcut durumla ilgili internette zaten kamuoyunun erişebileceği pek çok ayrıntı var. En güvenilir kaynak, 5 Eylül’de WID-SEC-2023-2262 Tavsiye Kararını yayınlayan federal yetkililerin Bilgisayar Acil Durum Müdahale Ekibinin Uyarı ve Bilgi Servisidir (CERT-Bund). Sonuç olarak, yüksek önem derecesine sahip bir Fritzbox güvenlik açığı (CVSS taban puanı 10 üzerinden 7,3), uzaktan (uzaktan) “belirtilmemiş bir saldırıya” izin veriyor. Saldırgan daha sonra bu güvenlik açığından İnternet üzerinden yararlanabilir. Bildirime göre FritzOS’un 7.57’den önceki tüm sürümleri etkileniyor. Bu nedenle bu, tüm Fritzbox yönlendiricilerini etkileyen ciddi bir güvenlik sorunudur.
İtalyanca bilgilendirici meraklar
Daha fazla arka plan bilgisi üzerine spekülasyonlar İtalyan FibraClick forumunda bulunabilir. Burada kullanıcılar sağlayıcılar ve erişim teknolojileri hakkında bilgi alışverişinde bulunurlar. İlk cihaz yazılımı güncellemelerinin yayınlanmasından bir haftadan fazla bir süre önce, Fritzbox 7590’ın ciddi bir güvenlik açığı olduğu iddiası ve ona yönelik saldırılar hakkında bir makale yayınlandı. Kullanıcı edofullo, bunu endüstriyel ortamlarda keşfettiğini ve güvenlik açığının diğer Fritzbox’ları da etkilemesinin göz ardı edilemeyeceğini yazıyor. Saldırganların “cihazın yapılandırmasını değiştirerek muhtemelen İnternet bağlantı noktalarını açması” mümkündür.
Açıklanan saldırılarda çevrimiçi erişim verileri silinmiş ve yönlendiriciler internetten izole edilmiş olacaktı. Ayrıca, web arayüzüne erişim verileri değiştirilmiş olacak ve böylece kullanıcılar artık AVM yönlendiricilerini yapılandıramayacaktı. edofullo ayrıca AVM’den olduğu söylenen İngilizce bir iletişimden de bahsediyor. Sonuç olarak yönlendirici üreticisi Fritz kutularını bu arızalarla inceledi. Her şeyden önce, web arayüzüne standart HTTPS bağlantı noktası 443 aracılığıyla İnternet’ten erişilebiliyordu.
Büyük güncellemeler
FibraClick forumundaki tartışma kızışırken AVM durumu kontrol altında tutmak için her şeyi yapardı. Bilindiği gibi 4 Eylül’de sadece Fritzbox 7590 için değil, birçok yönlendirici için ilk “kararlılık ve güvenlik güncellemeleri” yayınlandı. Üretici artık bazı Fritz tekrarlayıcıların “kararlılığını ve güvenliğini de artırdı”.
Peki bu özellikle ne anlama geliyor? Yanıt, FritzOS 7.57’nin güvenli sürümünü önceki sürümle karşılaştıran bir ihbarcıdan geldi. Bu aynı zamanda saldırganlar için de yaygın bir uygulamadır: Kamuya açık dosyalardaki değişikliklere dayanarak, uzman bir göz, üreticiden herhangi bir bilgi almadan güvenlik açığı bulunan kodu hızlı bir şekilde tespit edebilir.
Uzaktan bakımın devre dışı bırakılmasına rağmen savunmasız
Ve böylece, birkaç saat sonra ihbarcımız güvenlik açığıyla ilgili tüm ayrıntıları buldu. Bu bilgiyi kullanarak, güvenlik açığı hakkında halihazırda dolaşan bilgileri doğrulayabildik. Saldırıları kolaylaştırabilecek yeni ayrıntıları yayınlamadığımızı söylemeye gerek yok. Sadece şu: Güncellemeler, görünüşe göre web sunucusuna, saldırganların Fritzbox yapılandırmasının üzerine yazmasına olanak tanıyan bir güvenlik açığı ekliyor. Güvenlik açığı, bağlantı noktası kümesinden bağımsız olarak kullanılabilir ve 7590 dışındaki Fritzbox modellerini ve hatta tekrarlayıcıları da etkileyebilir.
Ancak ihbarcımızın en önemli bulgusu, web arayüzüne uzaktan erişim devre dışı bırakılsa bile güvenlik açığından yararlanılabileceğidir. Bu amaçla, saldırganın kurbanını örneğin Siteler Arası İstek Sahteciliği (CSRF) veya yalnızca bir yönlendirme yoluyla iç ağdaki web arayüzünü işaret eden bir web sitesine yönlendirmesi yeterlidir. Bu nedenle güvenlik önlemi olarak web arayüzüne çevrimiçi erişimin devre dışı bırakılması yeterli değildir. Uzun ve karmaşık bir giriş şifresi bile saldırıya karşı koruma sağlamaz çünkü saldırganın herhangi bir şifreye ihtiyacı yoktur.
Haberin Sonu