Eski Bir Kod Yüzünden Milyonlarca Cihaz Risk Altında

Yaklaşık 20 yıl önce Interpeak adlı şirket tarafından oluşturulan ağ protokolü, endüstri standardı hâline gelmişti. Bu protokoldeki hatalar yeni yeni gün yüzüne çıkmaya başladı. Hatalar, milyonlarca cihazı tehdit ediyor.

Geçtiğimiz ağustos ayında bir hastaneden gelen kafa karıştırıcı ihbar, Armis adlı güvenlik şirketinde dikkatleri üzerine topladı. Armis’ten hizmet alan hastanenin sıvı pompasında birkaç hafta öncesinde keşfedilen ve VxWorks adlı işletim sistemi üzerinde bulunan hata nedeniyle böyle bir açık vardı. Öte yandan bahsi geçen cihazda bu işletim sistemi bulunmuyordu. 

Hastane yetkilileri, bunun sadece bir yanlış alarm olup olmadığını merak etse de güvenlik araştırmacıları, beklemedikleri bir sonuçla karşılaştı. VxWorks ile pompanın işletim sistemi arasında kafa karıştırıcı bir sinyalleşme fark edildi. Ortaya çıkan durum, kritik önem taşıyan pek çok cihazın, örneğin hasta monitörlerinin, modemlerin, güvenlik kameralarının ve daha fazla cihazın tehlikede olduğunu gösteriyordu. 

15 yıldır güncellemeler olsa da hatalar düzeltilmedi:

Armis, bugün yaptığı açıklamada, sorunun kaynağı olan açığın tahmin edilenden çok daha fazla cihazı etkilediğini açıkladı. Gerçek zamanlı işletim sistemi (RTO) olarak adlandırılan sistemler, endüstride ve sağlık sektöründe sık sık kullanılıyor. Çok ayrı platformlar olsalar da her iki tarafta da oldukça eski bir koda dayalı ürünler kullanılıyor. Armis Başkan Yardımcısı Ben Seri, gömülü olarak kullanılan ve özel olarak yönetilmeyen cihazların sorunu olduğunu belirtirken geçen 15 yılda kodlarda inanılmaz değişimler olsa da hataların aynı kaldığını söylüyor. 

İsveçli Interpeak tarafından oluşturulan TCP/IP stok protokolü, pek çok firmaya satılıyor. Bu firmalar arasında RTO kullanan firmalar da yer alıyor. 2006 yılında da Wind River tarafından VxWorks geliştirildi. Wind River, aynı zamanda Interpeak’i de satın aldı ve hâliyle firmanın TCP/IP stok sistemi IPNet de onlara geçti. Bu da Urgent/11 adlı hatanın neden Becton Dickinson Alaris tarafından üretilen pompada olduğunu gösteriyor. Firma, bir başka IPNet tabanlı sistem kullanan bir başka firma olan ENEA’ya ait bir RTO kullanıyor. 

IPNet sistemindeki açıklar, hatanın pratikte de ortaya çıkmasından önce Las Vegas’taki hack konferansında da konuşulmuştu. Orada BD Alaris temsilcileri ile Armis temsilcileri bir araya gelmişti. Bir BD Alaris temsilcisi, bu hatanın istismarının zor olduğunu belirtti. Hackerler, her cihazı ayrı ayrı hedef almak zorundalar ve saldırılarında başarılı bile olsalar devam eden süreci etkileyemiyorlar. Olası saldırılar, cihazın alarmının çalmasına, uyarı ışıklarının yanmasına ve “iletişim hatası” uyarısı vermesine neden olabiliyor.

Devlet kurumlarından yetkililer, Armis ve BD Alaris temsilcileri, sistemdeki hatanın tespiti ve ortadan kaldırılması için çalışmalar yürütüyor. Şimdilik uzmanlar açığın şekliyle ilgili bilgileri topluyor.