Eski Bir Kod Yüzünden Milyonlarca Cihaz Risk Altında

Eski Bir Kod Yüzünden Milyonlarca Cihaz Risk Altında

Yaklaşık 20 yıl önce Interpeak adlı şirket tarafından oluşturulan ağ protokolü, endüstri standardı hâline gelmişti. Bu protokoldeki hatalar yeni yeni gün yüzüne çıkmaya başladı. Hatalar, milyonlarca cihazı tehdit ediyor.


Geçtiğimiz ağustos ayında bir hastaneden gelen kafa karıştırıcı ihbar, Armis adlı güvenlik şirketinde dikkatleri üzerine topladı. Armis’ten hizmet alan hastanenin sıvı pompasında birkaç hafta öncesinde keşfedilen ve VxWorks adlı işletim sistemi üzerinde bulunan hata nedeniyle böyle bir açık vardı. Öte yandan bahsi geçen cihazda bu işletim sistemi bulunmuyordu. 

Hastane yetkilileri, bunun sadece bir yanlış alarm olup olmadığını merak etse de güvenlik araştırmacıları, beklemedikleri bir sonuçla karşılaştı. VxWorks ile pompanın işletim sistemi arasında kafa karıştırıcı bir sinyalleşme fark edildi. Ortaya çıkan durum, kritik önem taşıyan pek çok cihazın, örneğin hasta monitörlerinin, modemlerin, güvenlik kameralarının ve daha fazla cihazın tehlikede olduğunu gösteriyordu. 

15 yıldır güncellemeler olsa da hatalar düzeltilmedi:

tıbbi pompa

Armis, bugün yaptığı açıklamada, sorunun kaynağı olan açığın tahmin edilenden çok daha fazla cihazı etkilediğini açıkladı. Gerçek zamanlı işletim sistemi (RTO) olarak adlandırılan sistemler, endüstride ve sağlık sektöründe sık sık kullanılıyor. Çok ayrı platformlar olsalar da her iki tarafta da oldukça eski bir koda dayalı ürünler kullanılıyor. Armis Başkan Yardımcısı Ben Seri, gömülü olarak kullanılan ve özel olarak yönetilmeyen cihazların sorunu olduğunu belirtirken geçen 15 yılda kodlarda inanılmaz değişimler olsa da hataların aynı kaldığını söylüyor. 

İsveçli Interpeak tarafından oluşturulan TCP/IP stok protokolü, pek çok firmaya satılıyor. Bu firmalar arasında RTO kullanan firmalar da yer alıyor. 2006 yılında da Wind River tarafından VxWorks geliştirildi. Wind River, aynı zamanda Interpeak’i de satın aldı ve hâliyle firmanın TCP/IP stok sistemi IPNet de onlara geçti. Bu da Urgent/11 adlı hatanın neden Becton Dickinson Alaris tarafından üretilen pompada olduğunu gösteriyor. Firma, bir başka IPNet tabanlı sistem kullanan bir başka firma olan ENEA’ya ait bir RTO kullanıyor. 

bd alaris

IPNet sistemindeki açıklar, hatanın pratikte de ortaya çıkmasından önce Las Vegas’taki hack konferansında da konuşulmuştu. Orada BD Alaris temsilcileri ile Armis temsilcileri bir araya gelmişti. Bir BD Alaris temsilcisi, bu hatanın istismarının zor olduğunu belirtti. Hackerler, her cihazı ayrı ayrı hedef almak zorundalar ve saldırılarında başarılı bile olsalar devam eden süreci etkileyemiyorlar. Olası saldırılar, cihazın alarmının çalmasına, uyarı ışıklarının yanmasına ve “iletişim hatası” uyarısı vermesine neden olabiliyor.

Devlet kurumlarından yetkililer, Armis ve BD Alaris temsilcileri, sistemdeki hatanın tespiti ve ortadan kaldırılması için çalışmalar yürütüyor. Şimdilik uzmanlar açığın şekliyle ilgili bilgileri topluyor. 




Delikli Tasarıma Sahip Dünyanın En Hafif Oyuncu Faresi
Delikli Tasarıma Sahip Dünyanın En Hafif Oyuncu Faresi

Bilgisayar oyunculuğu ekipmanları her geçen gün giderek gelişiyor. Gelişen ve değişen bu ekipmanlar arasına fare de eklendi. ...

Galaxy S10 Plus, Samsung'un En İnce Amiral Gemisi Olabilir
Galaxy S10 Plus, Samsung'un En İnce Amiral Gemisi Olabilir

Samsung, tasarımda eski ince tasarıma dönmüş olabilir. Yeni S10+ Samsung'un en ince amiral gemisi olacak. ...

Nokia 4.2 Tanıtıldı: İşte Fiyatı ve Özellikleri
Nokia 4.2 Tanıtıldı: İşte Fiyatı ve Özellikleri

Nokia'nın bütçe dostu akıllı telefon isteyenler için geliştirdiği Nokia 4.2 resmi olarak tanıtıldı. ...