Vestel AC Şarj Cihazı Hassas Bilgi Açıklama Güvenlik Açığı

byCrow -

 Vestel AC Şarj Cihazı Hassas Bilgi Açıklama Güvenlik Açığı

Genel bakış

CVE-2025-3606, Vestel AC Charger sürüm 3.75.0'ı etkileyen yüksek öneme sahip bir güvenlik açığıdır (CVSS 8.7)  . Bu kusur, bir saldırganın kimlik bilgilerini içeren hassas dosyalara erişmesine olanak tanır ve bu da daha fazla cihaz tehlikeye atılmasına yol açabilir. Bu güvenlik açığı 24 Nisan 2025'te kamuoyuna duyuruldu  ve bu aygıt yazılımı sürümünü kullanan cihazlar için önemli bir risk oluşturuyor.

Teknik Detaylar

Güvenlik açığı, Vestel AC Şarj Cihazı'nın web arayüzünde veya API'sinde güvenli olmayan dosya izinleri  veya  dizin geçiş sorunları nedeniyle ortaya çıkar   . Bir saldırgan, kimlik doğrulaması olmadan yapılandırma dosyalarını, günlükleri veya kimlik bilgisi depolarını okumak için bu açığı kullanabilir ve potansiyel olarak şunlara erişim sağlayabilir:

  • Yönetici şifreleri

  • API anahtarları

  • Oturum belirteçleri

  • Ağ yapılandırmaları

Bu, bir saldırganın şunları yapmasına olanak tanıyabilir:

  • Şarj istasyonunun tam kontrolünü elinize alın

  • Şarj programlarını manipüle edin

  • Kullanıcı verilerini çal

  • Cihazı daha büyük bir saldırıda bir pivot noktası olarak kullanın

Saldırı Senaryoları

Senaryo 1: Web Arayüzü Üzerinden Kimliği Doğrulanmamış Dosya Erişimi

  1. Bir saldırgan, internete açık bir Vestel AC Şarj Cihazı (v3.75.0) keşfeder.

  2. Kısıtlı dosyalara erişmek için hazırlanmış bir HTTP isteği gönderirler:

    http
    Kopyala
    İndirmek
    GET  /../../etc/passwd  HTTP/1.1   
Ana Bilgisayarı :  <şarj_IP'si>

  3. /etc/passwdSunucu , dizin geçişini onaylayan içerikle yanıt verir  .

  4. Saldırgan daha sonra  /var/config/credentials.dbyönetici kimlik bilgilerini alarak alır.

  5. Saldırgan bu kimlik bilgilerini kullanarak oturum açıyor ve şarj ayarlarını değiştiriyor veya kötü amaçlı yazılım dağıtıyor.

Senaryo 2: Yanlış Yapılandırılmış API Uç Noktalarını Kullanma

  1. Vestel şarj cihazının belgelenmemiş bir API uç noktası var:

    http
    Kopyala
    İndirmek
    GET /api/v1/config?file=credentials.json

  2. Bir saldırgan bu isteği gönderir ve yanıt olarak kimlik bilgileri dosyasını alır.

  3. Çıkarılan kimlik bilgileriyle SSH veya web paneli üzerinden kimlik doğrulaması yapılır.

  4. Daha sonra  güvenlik kontrollerini devre dışı bırakırlar  veya   kalıcı erişim için bir arka kapı kurarlar .

Azaltma ve Öneriler

  1. Satıcı Yamalarını Uygulayın  – Vestel'in bir aygıt yazılımı güncellemesi yayınlaması bekleniyor. Kullanıcılar derhal güncelleme yapmalıdır.

  2. Ağ Erişimini Kısıtlayın  – Şarj cihazlarının genel internete maruz kalmamasını sağlayın. Güvenlik duvarları ve VLAN segmentasyonu kullanın.

  3. Dosya İzin Güçlendirmesi  – Hassas dosyalara okuma/yazma erişimini kısıtlayın.

  4. Şüpheli Etkinlikler İçin Günlükleri İzleyin  – Tekrarlanan başarısız erişim girişimlerini veya alışılmadık dosya okumalarını arayın.

  5. Kimlik Bilgisi Rotasyonu  – Yama uygulamasından sonra tüm parolaları ve API anahtarlarını değiştirin.

Çözüm

CVE-2025-3606, cihazın tamamen ele geçirilmesine yol açabilecek kritik bir bilgi ifşa hatasıdır. Vestel AC Şarj Cihazları kullanan kuruluşlar,  yamaları önceliklendirmeli  ve   istismarı önlemek için ağ güvenliği kontrolleri uygulamalıdır.



Tags

Yorum Gönder

Daha yeni Daha eski

İletişim Formu