Microsoft, Cisco Tarafından Bulunan Azure Sphere Güvenlik Açıklarını Yamalıyor

Güvenlik araştırmacıları, mikro denetleyici birimi (MCU) cihazları için bir IoT platformu olan Microsoft’un Azure Sphere’de birden çok güvenlik açığı buldular.

Cisco Talos’tan araştırmacılar, Microsoft’un IoT uygulama güvenliğini göz önünde bulundurarak oluşturduğu bulut bağlantılı ve özel bir SoC platformunu etkileyen dört güvenlik açığı belirlediler. Sorunlar, zaten başka bir güvenlik açığı kümesinin keşfedilmesine yol açan bir girişim olan Azure Sphere Security Research Challenge aracılığıyla ortaya çıktı.

Microsoft Azure Sphere, güvenli, bağlantılı, çapraz bir mikro denetleyici birimi (MCU), özel bir üst düzey Linux tabanlı işletim sistemi (OS) ve sürekli, yenilenebilir güvenlik sağlayan bulut tabanlı bir güvenlik hizmetinden oluşur.

Güvenlik açıklarından ikisi, imzasız kod yürütülmesine neden olabilir. Bir durumda (TALOS-2020-1128), özel olarak hazırlanmış bir kabuk kodu, bir işlem yığınının yazılabilir olduktan sonra çalıştırılabilir olmasına neden olabilir. Diğerinde (TALOS-2020-1138), özel olarak hazırlanmış bir kabuk kodu, bir işlemin ‘yazılamayan belleğine yazılmasına neden olabilir.

Ayrıcalık yükseltmeyi içeren diğer iki güvenlik açığı (TALOS-2020-1133 ve TALOS-2020-1137), saldırganların yüksek yetenekler elde etmesine olanak sağlayabilirdi.

Talos’a göre Microsoft bu sorunların zaten farkında ve sorunları gidermek için Azure Sphere 20.08 sürümünü yayınladı. Linux çekirdeğini de 5.4.54 sürümüne yükselten daha önemli bir güncellemedir. Talos, Microsoft’un bulgulara CVE atamak istemediğini de söyledi.

Microsoft , “Azure Sphere Güvenlik Araştırma Görevimiz sırasında daha önce olduğu gibi, Cisco Talos daha fazla güvenlik açığı bulmaya devam ediyor ve McAfee ATR’nin kullandığı saldırı zinciri için son yamaya sahibiz” diyor

Neyse ki, Microsoft’un Azure Sphere tüketicilerin IoT cihazlarının güvenliğini sağlamak için kullanılan ana çözümlerden biri olsa da, bu tür güvenlik açıkları doğrudan normal kullanıcıları ilgilendirmemelidir. IoT güvenliği, çoğu üreticinin lansman sonrası desteği görmezden gelmesiyle sektörde büyük bir sorun olmaya devam ediyor.

Kaynak

About The Author

Reply