Veri şifreleme için küresel OpenSSL yazılımının acilen güncellenmesi gerekiyor. Güvenlik açığının tehdit seviyesi “Yüksek” olarak kabul edilir. TLS'ye dayalı aktarım şifrelemesi bu nedenle risk altındadır. Sunucular, istemciler ve IoT altyapıları yamalanmalıdır. BSI da uyarıyor.
Yeni bir tehdit edici güvenlik açığı, TLS'ye dayalı aktarım şifrelemesi için her türden şifreleme için en yaygın kullanılan yazılımlardan biri olan OpenSSL'yi kullanan dünya çapındaki tüm sistemleri tehlikeye atıyor. Belirli TLS sertifikalarını işlerken, hedefli saldırılar istemcileri ve sunucuları tamamen durma noktasına getirebilir (DoS - Hizmet Reddi). “Sunucular, istemciler ve diğer cihazlar derhal kontrol edilmeli ve gerekirse yama yapılmalıdır. Bu yazılım çok yaygın olduğundan, sunuculardan istemcilere ve Nesnelerin İnterneti'ne kadar tüm BT sistemlerinin çoğunluğu etkilenir. Bilgisayar korsanları özellikle bu boşluğa saldırırsa, şirketler ve kurumlar için çok kritik hale gelebilir,” diye uyarıyor IoT Inspector CEO'su Jan Wendenburg. Güvenlik şirketi, IoT ürün yazılımının otomatik kontrolü için önde gelen Avrupa platformunu işletiyor. Son zamanlarda bilinen güvenlik açığı, IoT ve IIoT cihazlarında ve altyapısında veya bunların yazılımlarında da özel olarak tespit edilip ortadan kaldırılabilir.
Tehdit Düzeyi: Yüksek
Yakın geçmişte IoT Inspector ekibi, tanınmış donanım üreticilerinde çok sayıda güvenlik açığını ortaya çıkardı. “Teknik bir danışma belgesi yayınlandıktan sonra bilgisayar korsanlarının ele alınan güvenlik açığına saldırmaya başladığını deneyimledik. Bu nedenle yöneticiler sorunun kendi ağlarında olup olmadığını hemen kontrol etmelidir" diyor IoT Inspector'dan Jan Wendenburg. Güvenlik açığı (CVE-2022-0778) yüksek tehdit düzeyine sahip. Şu anda Google'da Project Zero ekibinin bir parçası olarak çalışan beyaz şapkalı bir İngiliz bilgisayar korsanı olan Tavis Ormandy tarafından keşfedildi. OpenSSL 1.0.2, 1.1.1 ve 3.0 sürümleri bu güvenlik açığından etkilenir. OpenSSL kullanan yöneticiler, mümkün olan en kısa sürede 1.1.1n veya 3.0.2 güvenli sürümlerinden birini yüklemelidir.
öngörülemeyen durum
IoT Inspector uzmanlarından oluşan ekip, hızlı tepkilerin özellikle Ukrayna'daki savaş nedeniyle uluslararası siber saldırıların arka planına karşı tavsiye edildiğini tavsiye ediyor: “Kritik altyapılar ve aynı zamanda şirketler şu anda her zamankinden daha fazla risk altında. Avrupa teknolojisinin Rus savaş teçhizatında ortaya çıkarılmamış kullanımı, şirketlerin artık kendilerini ne kadar çabuk çapraz ateşe yakalanabildiklerini ve muhtemelen Anonim bilgisayar korsanları tarafından bir kampanyaya çekilebildiklerini gösteriyor. Durum öngörülemez,” diye açıklıyor Wendenburg. Sadece birkaç gün önce, Federal Bilgi Güvenliği Ofisi (BSI), BT altyapılarına yönelik savaşla ilgili saldırılar konusunda üçüncü kez uyarıda bulundu. Bir ağın her bir bileşeni, güvenlik açıklarının hedeflenen analiz yoluyla belirlenmemesi ve ardından giderilmemesi koşuluyla bir ağ geçidi olarak kullanılabilir. BSI'dan gelen uyarıların ardından IoT Inspector, Avrupa güvenlik mimarisini mümkün olan en iyi şekilde korumak için KRITIS altyapılarındaki her türden IoT/IIoT uç noktası için ücretsiz güvenlik kontrolü sunmaya devam ediyor. Ürün yazılımı kontrolü yalnızca birkaç dakika sürer ve ilgili riskleri analiz eder.
IoT-Inspector.com'da daha fazlası
IoT Müfettişi Hakkında
IoT Inspector, Avrupa'nın önde gelen IoT güvenlik analizi platformudur ve yalnızca birkaç fare tıklamasıyla IoT cihazlarının kritik güvenlik açıkları için otomatik ürün yazılımı testine olanak tanır. Aynı zamanda, entegre uyumluluk denetleyicisi, uluslararası uyumluluk düzenlemelerinin ihlallerini ortaya çıkarır. Dış saldırılar ve güvenlik riskleri için zayıf noktalar en kısa sürede belirlenir ve hedefli bir şekilde ortadan kaldırılabilir. Web arayüzü üzerinden kullanımı kolay olan çözüm, IoT teknolojisinin üreticileri ve distribütörleri için bilinmeyen güvenlik risklerini ortaya çıkarıyor.