P2P komponentlaridagi zaifliklar millionlab IoT qurilmalarini xavf ostiga qo’ymoqda
Millionlab qurilmalar, jumladan, IP-kameralar, chaqaloq monitorlari, aqlli eshik qo’ng’iroqlari, videomagnitafonlar va boshqalar xavf ostida.
Xitoyning Shenzhen Yunni Technology Company, Inc. kompaniyasi tomonidan ishlab chiqilgan iLnkP2P P2P komponentida IoT qurilmalarining masofadan turib buzilishiga olib keladigan zaifliklar aniqlandi. Millionlab qurilmalar, jumladan, IP kameralar, chaqaloq monitorlari, aqlli eshik qo’ng’iroqlari, DVRlar va HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight va HVCAM kabi yuzlab brendlar ostida bir nechta sotuvchilar tomonidan ishlab chiqarilgan va sotiladigan boshqa ko’plab gadjetlar xavf ostida. iLnkP2P foydalanuvchilarga mobil telefon yoki kompyuter yordamida IoT qurilmalariga masofadan ulanish imkonini beradi.
Zaifliklar mustaqil xavfsizlik bo’yicha mutaxassis Pol Marrapese tomonidan aniqlangan. Uning so’zlariga ko’ra, hozirda ikki milliondan ortiq qurilmaga onlayn kirish mumkin, ularning 39% Xitoyda, 19% Yevropada va 7% Qo’shma Shtatlarda joylashgan. Zaif qurilmalarning taxminan 50% Xitoyning Hichip kompaniyasi tomonidan ishlab chiqarilgan.
Birinchi muammo (CVE-2019-11219) tajovuzkorga zaif qurilmani aniqlash imkonini beradi, ikkinchi zaiflik (CVE-2019-11220) esa tajovuzkorga qurilma ulanishini to’xtatib, o’rtadagi odam hujumini amalga oshirish imkonini beradi. Ushbu zaifliklardan birgalikda foydalanish orqali tajovuzkor parollarni o’g’irlashi va qurilmalarni masofadan turib buzishi mumkin. Buning uchun ular shunchaki qurilma tomonidan ishlatiladigan P2P serverining IP-manzilini bilishlari kerak.
Marrapiz o’rnatilgan «yurak urishi» funksiyasidan foydalanib parolni olish imkonini beruvchi kontseptsiyani isbotlovchi kodni ishlab chiqdi, ammo xavfsizlik nuqtai nazaridan uni nashr etmaslikka qaror qildi.
«Tarmoqqa ulanishda iLnkP2P ishlaydigan qurilmalar muntazam ravishda P2P serveriga yurak urish xabarlarini yuboradi va qo’shimcha ko’rsatmalarni kutadi. Server ulanish so’rovini eng so’nggi yurak urish xabarining manbasiga yuboradi. Qurilmaning haqiqiy UID-ni bilib, tajovuzkor qurilma tomonidan yuborilgan asl xabarlarni almashtiradigan soxta yurak urish xabarlarini yuborishi mumkin. Ulanish paytida aksariyat mijozlar administrator sifatida tizimga kirishadi, bu esa tajovuzkorga qurilmaning hisob ma’lumotlarini olish imkonini beradi», deb tushuntirdi mutaxassis.
Marrapiz shu yilning yanvar oyida zaif qurilmalar ishlab chiqaruvchilari bilan bog’lanishga urinib ko’rdi, ammo birorta ham sotuvchi uning xabarlariga javob bermadi. Ko’rinishidan, yaqin orada yamoq chiqarilishiga umid kam va shuning uchun tadqiqotchi tashqi P2P ulanishlarining oldini olish uchun zaif mahsulotlardan foydalanishni to’xtatishni yoki UDP 32100 portiga kirishni cheklashni tavsiya qiladi. Zaif qurilmalar ro’yxati bu yerda mavjud.
Yurak urishi – bu normal ishlashni ko’rsatish yoki kompyuter tizimining boshqa qismlarini sinxronlashtirish uchun apparat yoki dasturiy ta’minot tomonidan yaratilgan davriy signal.
