CVE-2020-24363: TP-link TL-WA855RE Missing Authentication for Critical Function Vulnerability

Zorluk Seviyesi: Başlangıç | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

TP-Link TL-WA855RE, kullanıcıların evlerindeki kablosuz ağları genişletmelerine yardımcı olan popüler bir ağ cihazıdır. Ancak, bu ürün, CVE-2020-24363 zafiyeti nedeniyle ciddi bir güvenlik riski taşımaktadır. Bu zafiyet, kritik bir yetkilendirme eksikliğinden (missing authentication for critical function vulnerability) kaynaklanmaktadır ve bu durum, ağ üzerindeki saldırganların cihaz üzerinde kontrol kazanmasına olanak tanımaktadır. Özellikle, aynı ağ üzerinde bulunan bir saldırgan, TDDP_RESET POST isteği göndererek cihazı fabrika ayarlarına döndürebilir ve ardından cihazın yönetici parolasını değiştirebilir.

CVE-2020-24363 zafiyetinin tarihçesi, 2020 yılında güvenlik araştırmacıları tarafından keşfedilmiştir. Bu zafiyet, TP-Link TL-WA855RE’nin yazılımında yer alan bir yetkilendirme kontrolünün eksik olmasından kaynaklanmaktadır. Yazılımın, belirli kritik işlevler için yetkilendirme gereksinimlerini sağlamaması, saldırganların bu işlevlere erişmesini kolaylaştırmaktadır. Zafiyet, özellikle hem ev kullanıcıları hem de küçük işletme ortamlarında büyük bir tehdit oluşturmaktadır. Zira bu tür cihazlar, genellikle zayıf şifreleme ve zayıf güvenlik protokolleriyle korunmakta ve bu da onları kolay hedefler haline getirmektedir.

Dünya genelinde, bu zafiyetin etkileri oldukça yaygındır. Özellikle, perakende, sağlık hizmetleri ve finans sektörleri gibi kritik altyapıya sahip olan alanlarda, ağ güvenliği ihlalleri, maddi kayıplara ve itibar kaybına sebep olabilmektedir. Çeşitli sektörlerde bağlantılı cihazların artışı ile birlikte, ağ güvenliği zafiyetleri, çok daha tehlikeli hale gelmektedir. Örneğin, bir perakende işletmesinde bir saldırganın ağ cihazına erişim sağlaması durumunda, satış verileri ve müşteri bilgileri tehlikeye girebilir. Sağlık sektöründe ise, bu tür bir güvenlik ihlali, hasta bilgilerini tehlikeye atabilir ve ciddiyeti yüksek durumların hijyen ve güvenliği tehlikeye atabilir.

Gerçek dünya senaryolarında, bir saldırganın nasıl hareket edebileceği üzerine düşünmek önemlidir. Örneğin, bir ofis ağında çalışan bir hacker, kablosuz ağın SSID'sini tespit ettiğinde, kullanıcıların aynı ağa bağlı olup olmadığını kontrol edebilir. Erişim sağladığı takdirde, TDDP_RESET POST isteği göndererek, TL-WA855RE cihazını resetleyebilir ve ardından yönetici parolası belirleyerek ağın tam kontrolünü ele geçirebilir. Bu tür bir durum, bir şirketin iç verilerine ulaşmak için kötü niyetli bir girişim olabilir ve ciddi sonuçlar doğurabilir.

Sonuç olarak, CVE-2020-24363 zafiyeti, kritik bir yetkilendirme hatası olarak, birçok sektörde güvenlik açığına neden olabilmektedir. Kullanıcıların, bu tür zayıflıklara karşı dikkatli olmaları ve cihazların güvenliğini sağlamak amacıyla güncellemeleri takip etmeleri son derece önemlidir. Üretici tarafından sağlanan güvenlik yamalarının uygulanması ve kullanılmayan veya desteklenmeyen cihazların ağdan çıkarılması, bu tür zafiyetlerin etkilerini minimize etmek için atılacak önemli adımlardır. Güvenlik her zaman öncelik olmalıdır ve ağ güvenliği ihlalleriyle başa çıkmak için etkili stratejiler geliştirilmelidir.

Teknik Sömürü (Exploitation) ve PoC

TP-Link TL-WA855RE model cihazlarda bulunan CVE-2020-24363 zafiyeti, yetkilendirme eksikliği (missing authentication) nedeniyle ciddi güvenlik açıklarına yol açabilir. Bu açık, aynı ağa bağlı olan kimliği doğrulanmamış bir saldırganın, cihaz üzerinde kritik işlevleri kötüye kullanmasına olanak tanır. Örneğin, bu saldırgan TDDP_RESET POST isteğini göndererek fabrikaya resetleme ve yeniden başlatma işlemi gerçekleştirebilir. Bu noktada, cihazın yeni bir yönetici şifresi belirlenerek yetkisiz erişim sağlanması mümkündür.

Zafiyetin sömürülmesi için bir dizi adım izlenebilir. İşte adım adım sömürü aşamaları:

1. Ağ Analizi: İlk olarak, hedef okuyucu cihazın ağda bulunup bulunmadığını tespit edin. Bu, ağınızdaki cihazların IP adreslerini taramak için nmap gibi bir araç kullanılarak yapılabilir.

   nmap -sP 192.168.0.0/24

2. HTTP İsteği Gönderme: Cihaz tespit edildiğinde, açık olan portları kontrol edin. TP-Link TL-WA855RE genellikle 80 veya 8080 portlarında hizmet vermektedir. Basit bir POST isteği ile fabrikaya sıfırlama işlemini tetiklemek için aşağıdaki örnekte olduğu gibi bir HTTP isteği oluşturabilirsiniz:

   POST /reset HTTP/1.1
   Host: 192.168.0.1
   Content-Type: application/x-www-form-urlencoded

   reset=1

3. Yanıtı Değerlendirme: Gönderdiğiniz POST isteğinin yanıtını kontrol edebilirsiniz. Başarılı bir reset işlemi, cihazın yanıtı ile onaylanabilir.

   HTTP/1.1 200 OK
   Content-Length: 0

4. Yönetici Şifresini Değiştirme: Cihazın sıfırlanmasının ardından, yeni bir yönetici şifresi belirleyebilirsiniz. Bu adımda, yeni bir şifre belirlemek için benzer bir POST isteği yapılabilir.

   POST /set_password HTTP/1.1
   Host: 192.168.0.1
   Content-Type: application/x-www-form-urlencoded

   username=admin&password=YeniSifre1234

5. Erişim Sağlama: Yönetici şifresini değiştirdikten sonra, yeni şifre ile cihaza erişim sağlayabilirsiniz. Bu adımda, TCP/IP bağlantılarında çalışma yaparak, cihaz üzerinde tam yönetim haklarına sahip olursunuz.

Saldırının bu noktası, yetkisiz erişim yoluyla güvenlik duvarını aşma (auth bypass) ve kritik işlevleri kötüye kullanma (RCE - Uzak Kod Yürütme) riskini taşımaktadır. TP-Link TL-WA855RE gibi ürünler, EoL (Sonlandırılmış) veya EoS (Hizmet Dışı) aşamasında olduklarından, üretici desteği bulunmamakta ve güvenlik açıkları güncellenmemektedir. Bu bağlamda, kullanıcıların bu ürünleri kullanmaktan vazgeçmeleri önerilmektedir.

Sonuç olarak, cihazdaki bu zafiyetin istismar edilmesi, doğru bilgi ve teknik yetkinlikle mümkün hale gelmektedir. Bu durum, ağ güvenliği uzmanlarının dikkatini çekmeli ve zafiyetlerin zamanında tespit edilip kapatılması gerektiğini bir kez daha gözler önüne sermektedir. Şifrelerin güçlü bir şekilde oluşturulması, ağ araçlarının güncel tutulması ve sürekli sistem izleme gibi önlemler, bu tür zafiyetlerin etkisini azaltmada kritik bir rol oynamaktadır.

Forensics (Adli Bilişim) ve Log Analizi

TP-Link TL-WA855RE router'ında bulunan CVE-2020-24363 zafiyeti, siber güvenlik alanında önemli bir tehdit oluşturmaktadır. Bu zafiyet, kimlik doğrulama eksikliği nedeniyle bir saldırganın (aynı ağda bulunan) kritik bir işlevi manipüle etmesine olanak tanır. Özellikle, saldırganun TDDP_RESET POST isteği göndererek cihazı fabrika ayarlarına döndürmesi ve yönetici parolasını değiştirmesi, kötü niyetli eylemler için fırsat yaratır.

Bu tür bir zafiyeti tespit etmek için, SIEM (Security Information and Event Management) sistemleri ve log (kayıt) dosyaları büyük önem taşımaktadır. Bir siber güvenlik uzmanı, çeşitli log dosyalarını incelediğinde, dikkat etmesi gereken temel imzalar ve göstergeler bulunmaktadır.

Öncelikle, erişim logları (access logs) incelenmelidir. Bu loglarda, cihaz üzerinde gerçekleştirilen tüm erişim denemeleri kaydedilir. Zafiyetin potansiyel bir sömürü belirtisi olarak, aşağıdaki gibi isteklerin log'larda yer alıp almadığı kontrol edilmelidir:

1. POST /tddp_reset şeklinde bir isteğin varlığı.
2. İsteğin kaynağına ilişkin IP adresleri, özellikle tanımlanamayan veya beklenmedik kaynaklardan gelen istekler.
3. İsteklerin zaman damgaları ve sıklığı; ani bir artış, potansiyel bir saldırı belirtisi olabilir.

Error log (hata logları) da önemli bir inceleme kaynağıdır. Eğer bir cihaz üzerinde yetkisiz bir istek yapılmaya çalışıldığında, bu genellikle hata loglarına yansır. Örneğin, 403 Forbidden veya 401 Unauthorized gibi hata mesajları, yetkisiz erişim denemeleri hakkında bilgi verir.

Gerçek dünya senaryolarında, bir şirketin iç ağına izinsiz şekilde giren bir saldırganın, bu tür saldırılarla cihazları hedef alması sık rastlanan bir durumdur. Eğer şirketin SIEM sistemi bu tür istekleri tespit ederse, güvenlik ekipleri tarafından anında müdahale edilmesi mümkün olacaktır. Sistem, daha önce belirlenen göstergelere göre (signature) otomatik uyarılar göndererek güvenlik ekibini bilgilendirebilir.

Log analizi sırasında bir diğer dikkat edilmesi gereken husus ise, logların zaman senkronizasyonudur. Eğer bir cihazın logları, başka bir zaman dilimindeki kayıtlara göre kaydedilmişse, bu durum siber saldırganların log'ları gizlemek için zaman manipülasyonu yaptığını gösterebilir. Bu tür durumları tespit etmek için, log dosyalarını birbirleriyle karşılaştırmak ve anormal zaman damgalarındaki tutarsızlıkları dikkatlice incelemek oldukça kritik bir adımdır.

Sonuç olarak, CVE-2020-24363 gibi zafiyetlerin varlığında, siber güvenlik uzmanlarının SIEM ve log analizi üzerinde titizlikle çalışmaları gerekmektedir. Erişim ve hata loglarında yapılacak basit incelemeler, potansiyel tehditleri ve zafiyetleri açığa çıkarabilir. Bu nedenle, log analizi bir siber güvenlik stratejisinin vazgeçilmez bir parçası olmalıdır.

Savunma ve Sıkılaştırma (Hardening)

TP-Link TL-WA855RE, ev ve küçük ofislerde yaygın olarak kullanılan bir ağ genişletici (repeater) cihazıdır. Ancak, bu ürün, (CVE-2020-24363) olarak bilinen kritik bir güvenlik açığına sahiptir. Bu açığın varlığı, saldırganların ağa yetkisiz bir şekilde erişimini ve cihaz üzerinde kritik yetkileri ele geçirmesini mümkün kılmaktadır. TP-Link TL-WA855RE'de bulunan bu yetkisiz erişim açığı, özellikle ev kullanıcıları ve küçük işletmeler için ciddi bir sorun teşkil eder.

Bu saldırı senaryosunda, bir kötü niyetli kişi aynı ağda bulunarak, TDDP_RESET üzerine bir POST isteği gönderir. Bu istek, cihazın fabrika ayarlarına sıfırlanmasını ve yeniden başlatılmasını sağlar. Daha kritik olan ise, saldırganın bu yolla yeni bir yönetici şifresi belirleyebilmesidir. Bu, saldırganın cihaz üzerindeki yetkileri ele geçirerek ağdaki diğer cihazlara erişim sağlamasına olanak tanır. Bu tür bir durum, (RCE) Uzak Kod Yürütme (Remote Code Execution) veya (Auth Bypass) Yetki Atlatma saldırıları için bir kapı açar.

TP-Link TL-WA855RE gibi cihazlarda bu tür zafiyetleri önlemek için bir dizi güvenlik önlemi alınmalıdır. İlk olarak, kullanıcılar cihazlarını sürekli güncel tutmalı ve üretici tarafından sağlanan güvenlik yamalarını zamanında uygulamalıdır. Güncellemeler, bilinen zafiyetleri kapatmaya yardımcı olur ve cihazın güvenlik seviyesini artırır.

Alternatif olarak, aygıtın güvenliğini artırmak için IP tabanlı firewall (güvenlik duvarı) veya WAF (Web Uygulama Güvenlik Duvarı) kullanmak önemli bir adımdır. WAF, gelen ve giden trafiği denetleyerek potansiyel tehditleri engeller. Aşağıda, TP-Link TL-WA855RE cihazı için önerilebilecek bazı WAF kurallarını bulabilirsiniz:

# WAF Kural Örneği - TDDP_RESET talebini engelle
SecRule REQUEST_METHOD "POST" "phase:2,id:10001,deny,status:403,msg:'TDDP_RESET isteği engellendi'"

Bu kural, bir POST isteği yapıldığında ve isteğin içeriğinde TDDP_RESET kelimesi geçiyorsa, isteği engeller ve 403 hatası döndürür. Bu tür kurallar, cihazın maruz kalabileceği spesifik saldırılara karşı koruma sağlar.

Cihazın güvenliğini sağlamak adına yapılacak diğer sıkılaştırma önerileri şunlardır:

1. Ağ Segmantasyonu: Cihazın yer aldığı ağı, diğer kritik sistemlerden ayırmak. Bu, ağda yaşanabilecek bir saldırının etkisini en aza indirir.

2. Güçlü Yönetici Şifreleri: Yönetici paneline erişim için karmaşık ve tahmin edilmesi zor şifreler kullanmak, brute force (kaba kuvvet) saldırılarını zorlaştırır.

3. Erişim Kontrol Listeleri (ACL): Ağ içinde kimlerin ne tür trafiğe erişebileceğini tanımlayan kurallar oluşturarak, yetkisiz erişimlerin önüne geçmek.

4. Güvenlik Protokollerini Güncelleme: WPA3 gibi son derece güvenli Wi-Fi protokollerini kullanmak, ağ güvenliğini artırır ve sınırlı yetkilere sahip ağ kullanıcılarını korur.

Sonuç olarak, TP-Link TL-WA855RE gibi cihazların güvenliğini sağlamak, yalnızca yazılım güncellemeleriyle sınırlı kalmamalıdır. Sıcağın ve güvenliğin artırılması için ağda uygulanan güvenlik politikalarının ve katmanlı güvenlik önlemlerinin hayata geçirilmesi gerekmektedir. Bu tür açıkların farkında olmak ve önlem almak, hem bireysel kullanıcılar hem de küçük işletmeler için oldukça kritik öneme sahiptir.