Japonya'nın sertifikası, bilgisayar korsanlarının aygıt ayarlarını değiştirmek, komutları yürütmek ve hatta güvenlik duvarını kapatmak için I-O veri yönlendirici cihazlarındaki sıfır gün güvenlik açıklarından yararlandığını uyarıyor.
Satıcı, web sitesinde yayınlanan bir güvenlik bülteninde kusurları kabul etti. Ancak, düzeltmelerin 18 Aralık 2024'te inmesi bekleniyor, bu nedenle kullanıcılar hafifletmeler etkinleştirilmedikçe risklere maruz kalacaklar.
13 Kasım 2024'te tanımlanan üç kusur, bilgi açıklaması, uzaktan keyfi OS komutu yürütmesi ve güvenlik duvarlarını devre dışı bırakma yeteneğidir.
Sorunlar aşağıdaki gibi özetlenmiştir:
Üç sorun, çok yönlü bağlantı çözümleri için tasarlanmış hibrit bir LTE yönlendiricisi olan UD-LT1'i ve endüstriyel sınıf sürümü UD-LT1/EX.
Mevcut en son ürün yazılımı sürümü olan v2.1.9, yalnızca CVE-2024-52564'ü ele almaktadır ve I-O verileri, diğer iki güvenlik açığının düzeltilmesinin 18 Aralık 2024'te piyasaya sürülmesi planlanan v2.2.0'da sunulacağını belirtmektedir.
Satıcı bültende onayladığı gibi, müşteriler kusurların saldırılarda zaten sömürüldüğünü bildirmişlerdir.
I-O Veri Güvenliği Danışmanlığı, "Son zamanlarda, Hibrid LTE yönlendiricilerimizin 'UD-LT1' ve 'UD-LT1/EX'i kullanan müşterilerden sorular aldık;
Diyerek şöyle devam etti: "Bu müşteriler, dış kaynaklardan yetkisiz erişim bildirdiler."
Güvenlik güncellemeleri sunulana kadar, satıcı kullanıcıların aşağıdaki azaltma önlemlerini uygulamalarını önerir:
I-O veri UD-LT1 ve UD-LT1/EX LTE yönlendiricileri öncelikle Japonya'da pazarlanır ve satılır, NTT DoComo ve KDDI gibi birden fazla taşıyıcıyı desteklemek için tasarlanmıştır ve ülkedeki büyük MVNO SIM kartlarıyla uyumludur.
Palo Alto Networks, saldırılarda sömürülen kritik RCE Zero-Day konusunda uyarıyor
Botnet Mirai Kötü Yazılımları Yüklemek İçin Geovision Sıfır Gününden Serbest Yazılıyor
Mitel Micollab Zero-Day Flaw, Konsept Kanıtı Alır
Yakın zamanda yamalı böcekler kullanılarak 2.000'den fazla Palo Alto Güvenlik Duvarı saldırıya uğradı
Palo Alto Networks, saldırılarda kullanılan iki güvenlik duvarı sıfır gününü yamalar
Kaynak: Bleeping Computer