Security Analyst Summit 2025’te Kaspersky, bir otomotiv üreticisinin tüm bağlı araçlarına yetkisiz erişim sağlanmasına imkân veren önemli bir güvenlik açığını ortaya çıkaran güvenlik kontrolü sonuçlarını paylaştı.
Kaspersky’nin araştırmasına nazaran, bir taşeronun herkese açık uygulamasındaki sıfır-gün (zero-day) güvenlik açığından yararlanmak, araç telematik sisteminin denetimini ele geçirmeyi mümkün kılabiliyor ve bu durum şoför ile yolcuların fizikî güvenliğini tehlikeye atıyor. Örneğin, saldırganlar araç hareket halindeyken vites değiştirmeye zorlayabilir yahut motoru kapatabilir. Bu bulgular, otomotiv kesimindeki potansiyel siber güvenlik zafiyetlerini gözler önüne sererken, daha güçlü güvenlik tedbirlerinin alınması davetlerini da beraberinde getiriyor.
Sızma Noktası: Üretici ve Taşeron Altyapısındaki Zafiyetler
Güvenlik kontrolü uzaktan gerçekleştirildi ve üreticinin herkese açık servisleri ile taşeronun altyapısı maksat alındı. Kaspersky, birden fazla açık web servisi tespit etti. Bilhassa, wiki uygulamasında (kullanıcıların içerik oluşturmasına, düzenlemesine ve yönetmesine imkân veren web tabanlı platform) bulunan sıfır-gün SQL enjeksiyon açığı sayesinde, araştırmacılar taşeron tarafındaki kullanıcıların şifre karmalarına erişebildi; kimi şifreler zayıf parola siyasetleri nedeniyle kolaylıkla varsayım edilebiliyordu. Bu ihlal, taşeronun sorun takip sistemine erişim sağladı ve sistem (bir projedeki misyon, kusur yahut problemleri yönetmek ve takip etmek için kullanılan bir yazılım aracı), üreticinin telematik altyapısına dair hassas yapılandırma bilgilerini içeriyordu; ayrıyeten bir evrakta üreticinin araç telematik sunucularından birine ilişkin kullanıcı şifre karmaları da yer alıyordu. Çağdaş araçlarda telematik, bağlı araçlardan sürat, pozisyon ve gibisi bilgilerin toplanmasını, iletilmesini, tahlil edilmesini ve inançlı bir biçimde kullanılmasını sağlayan kritik bir teknolojidir.
Nihai Amaç: Aracın Kritik Sistemlerine Ulaşmak
Bağlı araç tarafında ise Kaspersky, yanlış yapılandırılmış bir güvenlik duvarı nedeniyle iç sunucuların internete açık hale geldiğini tespit etti. Daha evvel ele geçirilen bir servis hesabı şifresi kullanılarak sunucunun evrak sistemine erişildi ve diğer bir taşerona ilişkin kimlik bilgileri bulundu; bu durum telematik altyapısı üzerinde tam denetim sağlıyordu. En tasa verici bulgu, araştırmacıların, Telematik Denetim Ünitesi’ne (TCU) değiştirilmiş donanım yazılımı (firmware) yüklemeye imkan tanıyan bir firmware güncelleme komutu keşfetmesiydi. Bu, aracın CAN (Controller Area Network) data yoluna – motor ve sensörler üzere araç içi kritik bileşenleri birbirine bağlayan sistem – erişim sağladı. Sonrasında, motor, şanzıman üzere çeşitli öbür sistemlere de erişim sağlandı. Bu durum, şoför ve yolcu güvenliğini önemli biçimde tehlikeye atabilecek kritik araç işlevlerinin manipüle edilmesine imkan tanıyordu.
Kaspersky ICS CERT Güvenlik Açığı Araştırma ve Değerlendirme Başkanı Artem Zinenko konuyla ilgili şunları söylüyor: “Bu güvenlik açıkları, otomotiv dalında sık rastlanan problemlerden kaynaklanıyor: herkese açık web servisleri, zayıf şifreler, iki faktörlü doğrulamanın eksikliği ve şifrelenmemiş hassas data depolama. Tek bir taşeron zafiyeti, tüm bağlı araçların güvenliğini tehdit edebilir. Otomotiv kesimi, bilhassa üçüncü taraf sistemlerde sağlam siber güvenlik uygulamalarını önceliklendirmeli ve şoförleri korumalıdır.”
Kaspersky, taşeron firmaların siber güvenlik düzeyini yükseltmek için kapsamlı tekliflerde bulunuyor: web servislerine sırf VPN üzerinden erişim sağlamak, servisleri kurumsal ağdan izole etmek, sıkı parola siyasetleri uygulamak, iki faktörlü kimlik doğrulama (2FA) kullanmak, hassas bilgileri şifrelemek ve logları gerçek vakitli izleme için SIEM sistemleriyle entegre edilmesi yer alıyor.
Kaspersky, otomotiv üreticilerine yönelik tavsiyelerini ise bir dizi kritik güvenlik tedbiri olarak paylaştı. Bu tedbirler ortasında, telematik platform erişiminin araç ağının başka kısımlarından ayrıştırılması; ağ etkileşimlerinde sadece müsaade verilen süreçlere imkan tanıyan ‘izin listeleri’nin (allowlist) kullanılması ve SSH parola doğrulamasının devre dışı bırakılması yer alıyor. Ayrıyeten, tüm servislerin en az ayrıcalık prensibiyle çalıştırılması, Telematik Denetim Ünitesi’ne (TCU) gönderilen komutların kimlik doğrulamasının ve bütünlüğünün garanti altına alınması ve güvenlik olaylarının gerçek vakitli takibi için SIEM sistemleri ile entegrasyonun sağlanması öneriliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı