Bir güvenlik araştırmacısı, Shark marka robot süpürgelerde kritik bir güvenlik açığı keşfetti. tokay0 rumuzlu araştırmacı, Shark RV2320EDUS modelinden çıkardığı bir sertifikayı kullanarak, aynı AWS bölgesindeki diğer Shark süpürgelere root komutları gönderebildiğini açıkladı. Bu sayede cihazın kamerasını izlemek, robotu hareket ettirmek, ev haritasını okumak ve Wi-Fi şifresini düz metin olarak almak mümkün hale geliyor. Araştırmacı, metodunu yalnızca kendi satın aldığı cihazlarda test ettiğini ve açığın henüz kapatılmadığını belirtti.
Açığın temelinde, SharkNinja şirketinin kullandığı AWS IoT sertifikalarının yanlış yapılandırılması yatıyor. Sertifika politikaları, cihaz bazında kısıtlama yerine tüm cihazlara erişim izni verecek şekilde ayarlanmış. Bu, bir cihazın sertifikasını ele geçiren saldırganın, aynı bölgedeki tüm Shark süpürgelere komut göndermesine olanak tanıyor. Araştırmacı, sertifikayı cihazın flash belleğinden fiziksel olarak çıkardıktan sonra, AWS IoT broker'ına abone olup diğer cihazların seri numaralarını topladığını ve onlara komut gönderebildiğini gösterdi.
Araştırmacı, açığın ciddiyetini kanıtlamak için farklı bir model olan AV1102ARUS'a ters kabuk (reverse shell) gönderdi. Bu modelin sertifikası düzgün yapılandırılmış olmasına rağmen, Exec_Command alanını işlediği için saldırıya açıktı. Ters kabuk sayesinde robotun kamerasından canlı yayın almayı başardı. Bu, açığın yalnızca sertifikası hatalı olan cihazları değil, aynı zamanda Exec_Command komutunu çalıştıran tüm modelleri etkilediğini gösteriyor.
Sertifikayı çıkarmak için yalnızca bir tornavida yeterli. Cihazın ana kartındaki UART pinleri ve U-Boot konsolu şifre korumasız. Boot argümanlarına init=/bin/sh eklenerek root kabuğuna erişilebiliyor ve sertifikalar /mnt/res/vapp/certs/ klasöründe düz metin olarak bulunuyor. AWS, bu tür hatalı politikaları IOT_POLICY_OVERLY_PERMISSIVE_CHECK denetimiyle tespit ediyor ve kritik olarak sınıflandırıyor. Amazon'un belgelerine göre, bu tür bir politika, saldırganın tüm cihazların gölge durumlarını, işlerini ve iş yürütmelerini okumasına veya değiştirmesine olanak tanır.
tokay0, 24 saat boyunca bir AWS bölgesini izleyerek 1.517.605 benzersiz Shark seri numarası tespit etti. Bunların 673.816'sı (%44) Exec_Response sinyali gönderdi, bu da cihazın komut işleyiciyi çalıştırdığını doğruluyor. Araştırmacı, gerçek sayının daha yüksek olabileceğini belirtiyor. SharkNinja'ya Mart ayında bildirilen açık, Temmuz ayında henüz kapatılmamıştı. Şirket, araştırmacıya düzeltme tarihi sözü vermesine rağmen bilgi vermedi ve CVE başvurusunu gereksiz buldu.
Açığın çözümü, SharkNinja'nın AWS hesabında yapılacak bir politika güncellemesiyle mümkün. Cihaz sahiplerinin yapabileceği tek şey, süpürgeyi Wi-Fi'den ayırmak. Bu, uygulama kontrolünü, planlamayı ve haritaları devre dışı bırakarak cihazı sıradan bir süpürgeye dönüştürüyor. Araştırmacı, SharkNinja'nın diğer akıllı cihazlarının da (akıllı ızgaralar, kablosuz et termometreleri) benzer açıklara sahip olabileceğini belirtiyor. Güvenlik uzmanları, IoT cihazlarında sertifika yönetiminin ve politika kısıtlamalarının önemini vurguluyor.
Kaynak: thehackernews.com