Shark robot süpürgelerde keşfedilen kritik bir güvenlik açığı, saldırganların aynı AWS bölgesindeki milyonlarca cihazı uzaktan kontrol etmesine olanak tanıyor. tokay0 rumuzlu bir araştırmacı tarafından pazartesi günü yayımlanan yöntem, Shark RV2320EDUS modelinin flash belleğinden alınan bir sertifikanın, aynı AWS bölgesindeki diğer Shark süpürgelere root komutları göndermek için kullanılabileceğini gösteriyor. Bu sayede saldırganlar, süpürgenin kamerasını izleyebilir, robotu yönlendirebilir, evin haritasını okuyabilir ve Wi-Fi şifresini düz metin olarak ele geçirebilir.
Araştırmacı, yöntemi yalnızca kendi satın aldığı süpürgeler üzerinde test ettiğini ve güvenlik açığının henüz yamalanmadığını belirtiyor. Shark ve Ninja markalarının arkasındaki şirket olan SharkNinja'ya raporunu Mart ayında ilettiğini söyleyen tokay0, şirketin konuyu hafife aldığını ve CVE numarasının uygun olup olmadığını sorguladığını iddia ediyor. Açığın temelinde, sertifikaya bağlı politikanın cihaza özel olarak kapsamlandırılmaması yatıyor; sertifika, Shark'ın bulut broker'ına sunulduğunda broker, bu sertifikayla yayımlanan her şeyi kabul ediyor ve bu mesajlar broker'ın hizmet verdiği herhangi bir cihaza yönlendirilebiliyor.
Güvenlik açığı, herhangi bir bellek bozulması, ayrıcalık yükseltme veya şifre tahmini gerektirmiyor. Çalıştırılan komut, AWS'nin bulutta tuttuğu cihaz başına durum belgesi olan 'device shadow' içindeki sıradan bir alan. Araştırmacı, RV2320EDUS sertifikasını kullanarak $aws/things/# konusuna abone olmuş ve broker üzerinden geçen trafiği izleyerek seri numaralarını toplamış. Shadow'da bulunan Exec_Command alanı, yönetim daemon'u appd tarafından okunuyor ve 1000 bayt altındaki herhangi bir komutu popen aracılığıyla çalıştıran execute_command fonksiyonuna iletiyor. Bu alanı içeren bir shadow güncellemesi göndermek, hedef cihazın ilgili handler'ı varsa komutu çalıştırmasına yol açıyor.
Önemli Gelişmeler
Araştırmacı, çapraz model saldırısını kanıtlamak için satın aldığı AV1102ARUS modeline ters kabuk göndermeyi başarmış ve bu kabuk üzerinden robot dolaşırken modelin dahili kamerasından canlı yayın çekmiştir. Sertifikayı elde etmek için süpürgenin ana kartındaki UART pinlerine erişmek yeterli; U-Boot konsolu şifre sormuyor ve boot argümanlarına init=/bin/sh ekleyerek root kabuğuna düşülebiliyor. Anahtar ve sertifika, /mnt/res/vapp/certs/ dizininde sıradan dosyalar olarak bulunuyor.
Sonuç ve Değerlendirme
Sertifikalar AWS bölgelerine sabitlenmiş durumda; yani bir bölgeden alınan anahtar yalnızca o bölgedeki cihazlara erişebiliyor. Başka bir bölgeye erişmek için o bölgede sağlanmış ve aynı hatalı politikayı taşıyan başka bir sertifika gerekiyor. Amazon'un Device Defender hizmeti, tam olarak bu politika şeklini denetleyen bir kontrole sahip: IOT_POLICY_OVERLY_PERMISSIVE_CHECK. Bu kontrol, $aws/things/* üzerinde yayın veya abonelik izni veren cihaz politikalarını işaretliyor ve Amazon bunu kritik olarak değerlendiriyor. Belgelere göre, bu politikayı taşıyan bir sertifikanın ele geçirilmesi, saldırganın tüm cihazların shadow'larını, işlerini veya iş yürütmelerini okumasına veya değiştirmesine olanak tanıyor.
Detaylar ve Etkileri
Her sertifika bir maymuncuk değil. Hatalı politikaya sahip sertifika saldırganın anahtarıyken, Exec_Command çalıştıran her süpürge hedef konumunda. AV1102ARUS modeli, sertifikası doğru kapsamlandığı ve joker abonelik yapamadığı için hedef olmasına rağmen anahtar değil; üstelik yazılımı birkaç yıl daha yeni. Araştırmacı, bunu eski filodaki sertifikalara hiç ulaşmayan bir sağlama düzeltmesi olarak yorumluyor. Bu nedenle, internet bağlantılı her Shark süpürgenin savunmasız olduğu iddiası ikiye ayrılmalı. tokay0, bir AWS bölgesini 24 saat izleyerek 1.517.605 benzersiz Shark seri numarası tespit etmiş; bunlardan 673.816'sı (%44) Exec_Response yayımlamış, yani komut handler'ını çalıştırdığını doğrulamış.
Çözüm, kullanıcının yükleyebileceği bir şey değil; SharkNinja'nın AWS hesabında, robotun yazılımında değil. Amazon'un düzeltme kılavuzuna göre, uyumsuz politika, kapsamlı bir sürüm oluşturularak ve setAsDefault bayrağı ile değiştirilmeli. Bu, herhangi bir yazılım güncellemesi gerektirmiyor. Sertifikaların yeniden düzenlenmesi ise daha uzun vadeli bir iş. SharkNinja bu adımları atana kadar, kullanıcıların tek yapabileceği süpürgeyi Wi-Fi'dan ayırmak; bu da uygulama kontrolü, zamanlama ve haritaları sonlandırarak cihazı sıradan bir süpürgeye dönüştürüyor.
Gelecekte Ne Bekleniyor?
Araştırmacı, açık canlıyken script'lerini paylaşmamış ve diğer bulgularını yayımlamaya değer bulmamış. SharkNinja'nın akıllı ızgaralar ve kablosuz et probları gibi diğer bağlantılı ürünlerini incelemediğini ancak bunların da muhtemelen savunmasız olduğunu belirtiyor. Şirketin güvenlik açığı bildirim politikası, 'rapor edilen güvenlik açığı çözülene kadar düzenli güncellemeler sağlama' sözü veriyor ancak henüz herhangi bir yama yayımlanmış değil. CVE numarası da alınamamış durumda; MITRE'ye yapılan başvuru sonuçsuz kalmış.
Kaynak: thehackernews.com