2019'un sonlarında, FireEye'ın bir birimi olan Mandiant'taki Kırmızı Ekip, Digi International'ın ConnectPort X2e cihazında bir dizi güvenlik açığı keşfetti.
Mandiant'ın araştırmaları, özel güneş sistemlerinde veri toplamak için kullanılan ve SolarCity (şimdi Tesla) tarafından yeniden markalaştırılan X2e cihazına odaklandı. SolarCity'nin tipik bir kurulumu, bir müşteriye bir ağ geçidi (X2e cihazı) sağlaması ve bunu müşterinin ev ağındaki bir Ethernet kablosu aracılığıyla İnternet'e bağlamasıdır. Bu, cihazın ölçülen enerji değerlerini yorumlamasını ve göndermesini sağlar. Bilgisayar korsanları cihaza uzaktan erişim sağlamayı başardı.
Güvenlik açığı düzeltildi - daha fazla saldırı yakındır
Tipik bir kurulum: güneş enerjisi sistemleri için bir X2e cihazıyla (Resim: FireEye).
Bu arada Mandiant, Digi International ve Tesla ile iş birliği yaparak güvenlik açıklarını düzeltti. Ancak Mandiant Direktörü Jake Valletta'ya göre, "Bir ev ağına eklenen ve uzaktan erişilebilen herhangi bir cihaz - bebek monitörü veya VoIP cihazı - bir güvenlik açığı anlamına gelir." Mandiant'ın uzmanları şu konuda hemfikir: daha fazla saldırı göreceğiz. bu tür cihazlarda.
İki blog gönderisinde FireEye, bilgisayar korsanları tarafından kullanılan yöntemler ve araçlar da dahil olmak üzere uygulamalı donanım saldırılarına ışık tutuyor.
Parça 1 X2e cihazına genel bir bakış, ağ tabanlı ilk keşif, PCB inceleme teknikleri, fiziksel hata ayıklama arabirimi araştırması, parçalama teknikleri ve aygıt yazılımı analizi sağlar. Bu yöntemleri kullanan Mandiant, X2e cihazını, yönetici ayrıcalıkları olmadan bile sabit kodlanmış kimlik bilgilerine (CVE-2020-9306) dayalı olarak uzaktan başarıyla ele geçirmeyi başardı.
Parça 2 Mandiant'ın güç arızası saldırılarını kullanarak cihazda yerel olarak nasıl ayrıcalıklı bir kabuk kazandığını ele alıyor. CVE-2020-12878 güvenlik açığı, ayrıcalıkların uzaktan yükseltilmesini ve bilgisayar korsanına yönetici hakları verilmesini mümkün kıldı. Bu iki güvenlik açığı (CVE-2020-9306 ve CVE-2020-12878) bir araya geldiğinde, X2e cihazının tamamen uzaktan ele geçirilmesine neden olur.
FireEye.com'da Bölüm 1'e geçin FireEye.com'da Bölüm 2'e geçin
Trellix Hakkında Trellix, siber güvenliğin geleceğini yeniden tanımlayan küresel bir şirkettir. Şirketin açık ve yerel Genişletilmiş Algılama ve Yanıt (XDR) platformu, günümüzün en gelişmiş tehditleriyle karşı karşıya olan kuruluşların operasyonlarının korunduğu ve dirençli olduğu konusunda güven kazanmasına yardımcı olur. Trellix güvenlik uzmanları, kapsamlı bir iş ortağı ekosistemiyle birlikte, 40.000'den fazla işletme ve devlet müşterisini desteklemek için makine öğrenimi ve otomasyon yoluyla teknolojik yeniliği hızlandırır.