Siber güvenlik araştırmacısı tokay0 takma adıyla yayınladığı raporda, Shark marka robot süpürgelerde kritik bir güvenlik açığı keşfettiğini duyurdu. Shark RV2320EDUS modelinden alınan bir sertifika, saldırganların aynı AWS bölgesindeki diğer Shark süpürgelerde root komutları çalıştırmasına olanak tanıyor. Bu komutlar sayesinde kamera akışı izlenebiliyor, süpürge uzaktan yönlendirilebiliyor, evin haritası okunabiliyor ve Wi-Fi şifresi düz metin olarak elde edilebiliyor. Araştırmacı, yöntemi yalnızca kendi satın aldığı cihazlarda test ettiğini ve açığın henüz yamalanmadığını belirtiyor.
Tokay0, Shark ve Ninja markalarının arkasındaki şirket SharkNinja'ya Mart ayından bu yana rapor gönderdiğini ancak şirketin henüz bir düzeltme yayınlamadığını söylüyor. Açığın temelinde, cihazlara atanan AWS IoT sertifikalarının hatalı politika yapılandırması yatıyor. Sertifika, yalnızca ait olduğu cihaz için değil, aynı AWS bölgesindeki tüm cihazlar için geçerli bir izin taşıyor. Bu sayede saldırgan, herhangi bir bellek bozulması, ayrıcalık yükseltme veya şifre kırma işlemine gerek kalmadan doğrudan komut gönderebiliyor.
Araştırmacı, RV2320EDUS cihazından aldığı sertifikayı kullanarak AWS IoT broker'ına $aws/things/# konusuna abone oldu ve trafiği izleyerek binlerce seri numarası topladı. Cihaz gölgesi (device shadow) adı verilen durum dokümanındaki Exec_Command alanı, appd yönetim arka plan programı tarafından okunup execute_command fonksiyonuna iletilerek 1000 bayt altındaki herhangi bir komutu popen aracılığıyla çalıştırıyor. Bu şekilde, bir AV1102ARUS modeline ters kabuk (reverse shell) yerleştirip kamerasından canlı görüntü almayı başardı.
Sertifikayı elde etmek için yalnızca bir tornavida yeterli: ana karttaki UART pinleri açık, U-Boot konsolu şifre sormuyor ve boot argümanlarına init=/bin/sh eklenerek root kabuğuna erişiliyor. Sertifika ve anahtar, /mnt/res/vapp/certs/ dizininde düz dosyalar halinde duruyor. Sertifikalar AWS bölgesine sabitlendiği için, bir bölgeden alınan anahtar yalnızca o bölgedeki cihazlara erişim sağlıyor. Fakat politika hatası tüm bölgeyi etkiliyor.
Amazon'un IoT cihaz filosu denetim hizmeti Device Defender, tam da bu tür hatalı politikaları IOT_POLICY_OVERLY_PERMISSIVE_CHECK olarak işaretliyor ve kritik seviyede uyarıyor. Amazon'a göre bu, saldırganın tüm cihazların gölgelerini, işlerini ve iş yürütmelerini okumasına veya değiştirmesine olanak tanır. Araştırmacı, AV1102ARUS modelinin sertifikasının doğru yapılandırılmış olduğunu ancak yine de hedef alınabildiğini belirtiyor. Bu, eski cihaz filosunun sertifikalarının hiçbir zaman güncellenmediğini gösteriyor.
Nasıl Önlem Alınmalı?
Tokay0, 24 saat boyunca bir AWS bölgesini izleyerek 1.517.605 benzersiz Shark seri numarası tespit etti. Bunların 673.816'sı (%44) Exec_Response mesajı gönderdi, yani komut işleyiciyi çalıştırdı. Araştırmacı, gerçek sayının daha yüksek olduğunu düşünüyor. SharkNinja, Mart ayından bu yana raporu inceliyor ve Temmuz ayında bir düzeltme tarihi sözü vermesine rağmen henüz geri dönüş yapmadı. Şirket ayrıca CVE atanmasının uygun olmadığını öne sürdü.
Düzeltme, kullanıcının yapabileceği bir şey değil; SharkNinja'nın AWS hesabında sunucu tarafında yapılmalı. Amazon'un önerdiği yöntem, hatayı taşıyan politikayı CreatePolicyVersion ve setAsDefault flag ile daraltılmış bir sürümle değiştirmek. Sertifikaların yeniden düzenlenmesi ise daha uzun süreç. Kullanıcıların tek korunma yöntemi, süpürgeyi Wi-Fi'dan ayırmak. Bu da uygulama kontrolü, planlama ve haritalama gibi özellikleri kaybettiriyor. Araştırmacı, açık giderilene kadar scriptlerini paylaşmayacağını ve SharkNinja'nın akıllı ızgaralar gibi diğer IoT ürünlerinin de benzer açıklar içerebileceğini belirtiyor.
Kaynak: thehackernews.com