Eski Bir Kod Yüzünden Milyonlarca Cihaz Risk Altında

Yaklaşık 20 yıl önce Interpeak adlı şirket tarafından oluşturulan ağ protokolü, endüstri standardı hâline gelmişti. Bu protokoldeki hatalar yeni yeni gün yüzüne çıkmaya başladı. Hatalar, milyonlarca cihazı tehdit ediyor.


Geçtiğimiz ağustos ayında bir hastaneden gelen kafa karıştırıcı ihbar, Armis adlı güvenlik şirketinde dikkatleri üzerine topladı. Armis’ten hizmet alan hastanenin sıvı pompasında birkaç hafta öncesinde keşfedilen ve VxWorks adlı işletim sistemi üzerinde bulunan hata nedeniyle böyle bir açık vardı. Öte yandan bahsi geçen cihazda bu işletim sistemi bulunmuyordu. 

Hastane yetkilileri, bunun sadece bir yanlış alarm olup olmadığını merak etse de güvenlik araştırmacıları, beklemedikleri bir sonuçla karşılaştı. VxWorks ile pompanın işletim sistemi arasında kafa karıştırıcı bir sinyalleşme fark edildi. Ortaya çıkan durum, kritik önem taşıyan pek çok cihazın, örneğin hasta monitörlerinin, modemlerin, güvenlik kameralarının ve daha fazla cihazın tehlikede olduğunu gösteriyordu. 

15 yıldır güncellemeler olsa da hatalar düzeltilmedi:

tıbbi pompa

Armis, bugün yaptığı açıklamada, sorunun kaynağı olan açığın tahmin edilenden çok daha fazla cihazı etkilediğini açıkladı. Gerçek zamanlı işletim sistemi (RTO) olarak adlandırılan sistemler, endüstride ve sağlık sektöründe sık sık kullanılıyor. Çok ayrı platformlar olsalar da her iki tarafta da oldukça eski bir koda dayalı ürünler kullanılıyor. Armis Başkan Yardımcısı Ben Seri, gömülü olarak kullanılan ve özel olarak yönetilmeyen cihazların sorunu olduğunu belirtirken geçen 15 yılda kodlarda inanılmaz değişimler olsa da hataların aynı kaldığını söylüyor. 

İsveçli Interpeak tarafından oluşturulan TCP/IP stok protokolü, pek çok firmaya satılıyor. Bu firmalar arasında RTO kullanan firmalar da yer alıyor. 2006 yılında da Wind River tarafından VxWorks geliştirildi. Wind River, aynı zamanda Interpeak’i de satın aldı ve hâliyle firmanın TCP/IP stok sistemi IPNet de onlara geçti. Bu da Urgent/11 adlı hatanın neden Becton Dickinson Alaris tarafından üretilen pompada olduğunu gösteriyor. Firma, bir başka IPNet tabanlı sistem kullanan bir başka firma olan ENEA’ya ait bir RTO kullanıyor. 

bd alaris

IPNet sistemindeki açıklar, hatanın pratikte de ortaya çıkmasından önce Las Vegas’taki hack konferansında da konuşulmuştu. Orada BD Alaris temsilcileri ile Armis temsilcileri bir araya gelmişti. Bir BD Alaris temsilcisi, bu hatanın istismarının zor olduğunu belirtti. Hackerler, her cihazı ayrı ayrı hedef almak zorundalar ve saldırılarında başarılı bile olsalar devam eden süreci etkileyemiyorlar. Olası saldırılar, cihazın alarmının çalmasına, uyarı ışıklarının yanmasına ve “iletişim hatası” uyarısı vermesine neden olabiliyor.

Devlet kurumlarından yetkililer, Armis ve BD Alaris temsilcileri, sistemdeki hatanın tespiti ve ortadan kaldırılması için çalışmalar yürütüyor. Şimdilik uzmanlar açığın şekliyle ilgili bilgileri topluyor. 




FaceTime Hatasını 14 Yaşındaki Fortnite Oyuncusu Keşfetmiş
FaceTime Hatasını 14 Yaşındaki Fortnite Oyuncusu Keşfetmiş

Apple tarihinin belki de en skandal mobil uygulama hatalarından biri, geçtiğimiz hafta 14 yaşındaki bir Fortnite oyuncusu tarafından keşfedilmiş. ...

Microsoft, Outlook Mobile'a Reklam Özelliği Getiriyor
Microsoft, Outlook Mobile'a Reklam Özelliği Getiriyor

Microsoft, daha önce reddettiği Outlook Mobile'da reklam özelliğini kullanmaya başladı. ...

Exodus'un Casus Yazılımı iOS'ta Tespit Edildi
Exodus'un Casus Yazılımı iOS'ta Tespit Edildi

Bir güvenlik şirketi, Apple'ın uygulama sertifikasını kullanarak iPhone'lara yüklenebilen bir casus yazılımı tespit etti. ...