CVE-2020-5735 · Bilgilendirme

Amcrest Cameras and NVR Stack-based Buffer Overflow Vulnerability

CVE-2020-5735, Amcrest kameralarındaki zayıflığı kullanarak uzaktan erişimle cihazları çökertme riski.

Üretici
Amcrest
Ürün
Cameras and Network Video Recorder (NVR)
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-5735: Amcrest Cameras and NVR Stack-based Buffer Overflow Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-5735, Amcrest kameralar ve ağ video kayıt cihazlarında (NVR) bulunan ciddi bir güvenlik zafiyeti olarak karşımıza çıkmaktadır. Bu zafiyet, özellikle port 37777 üzerinden gerçekleşen bir yığın (stack) tabanlı buffer overflow (tampon taşması) hatasından kaynaklanmaktadır. Amcrest'in sunduğu güvenlik kameraları ve NVR'ler, ev ve işletme güvenliği için yaygın olarak kullanılmakta olup, bu tür cihazların savunmasız kalması, siber suçlular için büyük fırsatlar sunmaktadır.

Zafiyetin temelinde yatan problem, kötü niyetli bir saldırganın, bu cihazlara uzaktan ve kimlik doğrulaması olmaksızın erişim sağlamasıyla birlikte, belirli bir giriş verisi ile yığına aşırı yükleme yaparak cihazı çökertmesi ve potansiyel olarak uzaktan kod çalıştırma (RCE - Uzaktan Kod Çalıştırma) olanağı tanımasıdır. Bu tür bir durum, saldırganların cihaz üzerine kötü amaçlı yazılımlar yükleyerek gizli görüntü akışlarını ele geçirmesine, sistemin kontrolünü sağlamasına ve hatta daha geniş bir ağa sızmasına yol açabilir.

Bu zafiyet, 2020 yılında keşfedilmiştir ve bu tarihten itibaren dünya genelinde birçok sektörü etkilemiştir. Özellikle perakende, sağlık ve kamu güvenliği alanlarında önemli bir risk oluşturmuştur. Örneğin, sağlık hizmetleri alanında kullanılan güvenlik kameraları, hasta mahremiyeti için kritik öneme sahiptir. Eğer bir saldırgan bu tür bir cihazı ele geçirirse, hasta bilgileri tehlikeye girebilir.

CVE-2020-5735 zafiyetinin tarihçesi, ilk olarak 2020 yılının başlarında güvenlik araştırmacıları tarafından tespit edilmiştir. Bu zafiyet, Amcrest ürünlerinin iç işleyişinde, belirli bir kütüphanenin hafıza yönetimindeki hatalardan kaynaklanmaktadır. Kullanılan kütüphanelerden birinin, oturum kontrolü ve hafıza sınırları ile ilgili yetersizlikleri, bilgilerin beklenmedik bir şekilde taşmasına neden olmuştur. Araştırmacılar, detaylı analizler sonucu belirli bir veri yapısının yığındaki tampon limitlerini aşarak, sistemin yanıt vermesini durdurabileceğini ve ASCII karakterleri kullanarak belirli bir kodun çalıştırılmasını sağlayacak mekanizmaların mevcut olduğunu saptamıştır.

Yaygın olarak kullanılan ve tehditlerin sürekli olarak geliştiği günümüzde, bu tür zafiyetlerin tespiti ve kapatılması, siber güvenlik uzmanları için hayati bir öneme sahiptir. Bu bağlamda, White Hat Hacker olarak yapılacak en iyi uygulamalardan biri, güvenlik taramalarını düzenli aralıklarla gerçekleştirmek ve güncellemeleri takip etmek olmalıdır. Kuruluşların, kritik güvenlik açıklarını tespit edebilmesi için sızma testleri (penetration testing) ve güvenlik değerlendirmeleri yapmaları önerilmektedir. Bu tür proaktif önlemler, hem cihazların güvenliğini artıracak hem de potansiyel saldırılara karşı hazırlıklı olunmasını sağlayacaktır.

Sonuç olarak, CVE-2020-5735 gibi zafiyetlerin farkında olmak, sadece saldırganların faaliyetlerine karşı değil, aynı zamanda güvenlik ekiplerinin de stratejilerini belirlemelerine yardımcı olacaktır. Amcrest gibi üreticilerin, düzenli güncellemeler yayınlaması ve kullanıcıların bu güncellemeleri dikkate alması, bu tür saldırılara karşı dayanıklılığı artırmanın en önemli yolu olarak öne çıkmaktadır. Unutulmamalıdır ki, siber güvenlikteki her zafiyet, tüm ekosistemi etkileyebilir ve bu yüzden ciddi bir dikkat ve önlem gerektirir.

Teknik Sömürü (Exploitation) ve PoC

Amcrest kameraları ve NVR (Ağ Video Kaydedici) cihazları, uzaktan izleme ve güvenlik sağlama amacıyla yaygın olarak kullanılır. Ancak bu cihazlarda var olan CVE-2020-5735 zafiyeti, kötü niyetli kişilerin bu cihazları hedef alarak ciddi güvenlik sorunlarına yol açmasına olanak sağlamaktadır. Bu bölümü, bu zafiyetin teknik sömürü aşamalarını ve Proof of Concept (PoC) kodlarını incelemek amacıyla hazırladık.

Zafiyet, Amcrest cihazlarının 37777 numaralı portu üzerinden gerçekleştirilen stack-based buffer overflow (yığın tabanlı tampon taşma) saldırılarına dayanmaktadır. Bu saldırılar, kötü niyetli bir kullanıcının cihazın özelliklerinden faydalanarak, uzaktan kimlik doğrulaması gerektirmeden cihazı çökertmesine veya kod çalıştırmasına sebep olabilir.

Sömürü Aşamaları:

  1. Hedef Bilgilerini Toplama: İlk adım, cihazın IP adresini ve açık portlarını tespit etmektir. Amcrest kameralarının 37777 numaralı portunun açık olduğunu doğrulamak için nmap gibi araçlar kullanılabilir:
   nmap -p 37777 <Hedef_IP>
  1. Zafiyetin Doğrulanması: Tampon taşma zafiyetinin mevcut olup olmadığını test etmek için, belirli bir uzunlukta veri göndererek bu alana aşırı yük bindirebiliriz. Bu aşamada, bir HTTP isteği hazırlanır. Aşağıda, varsayılan bir istek örneği verilmiştir:
   POST / HTTP/1.1
   Host: <Hedef_IP>:37777
   Content-Length: 5000

Burada, 5000 baytlık veri göndererek potansiyel olarak taşma oluşturan bir istek düzenlenmektedir. Eğer cihaz çöküyorsa veya yanıt vermiyorsa, zafiyeti doğrulamış olursunuz.

  1. Payload Hazırlama: Tampon taşma zafiyetini kullanarak zararlı bir yük (payload) oluşturmak gerekmektedir. Örneğin, bu aşamada zararlı kodun belleğe yerleştirilmesi için Aşağıdaki gibi manuel olarak bir yük hazırlanabilir:
   payload = b"A" * 2000  # Bu alan dolgun ve saldırıya uygun hale getirilecek
   payload += b"<Zararlı Kod Buraya>"  # Kötü niyetli kod buraya yerleştirilecektir.
   payload += b"\x90" * 100  # NOP sled
  1. Zararlı Kodu Çalıştırma: Oluşturduğunuz yükü, daha önce hazırlanmış olan HTTP isteği ile cihazınıza gönderin. Bu, uzaktan kod çalıştırma (Remote Code Execution - RCE) işlemini başlatacaktır:
   POST / HTTP/1.1
   Host: <Hedef_IP>:37777
   Content-Length: 5000
   <payload burada yer alacak>
  1. Sonuçların İzlenmesi: Saldırıyı gerçekleştirdikten sonra, cihazın davranışlarını izlemek gerekir. Cihaz yanıt vermiyorsa veya normalden farklı şekilde çalışıyorsa, bu başarılı bir sömürü sürecinin göstergesi olabilir. Ayrıca, zararlı yükün etkilerini görülebilir hale getirmek için belirli bir çıkış mekanizması tasarlamak gerekir.

Gerçek dünya senaryolarında, benzer teknikler kullanılarak IoT cihazları üzerindeki güvenlik açıkları değerlendirilebilir. Bu tür bulguların belirlenmesi, hem ürünlerin güvenliğini artırmak hem de kullanıcıların gizliliğini korumak için son derece önemlidir. Bu nedenle, bu tarz zafiyetleri raporlamak ve düzeltme sürecine katkıda bulunmak, beyaz şapkalı hackerların (White Hat Hacker) sorumluluğundadır.

Forensics (Adli Bilişim) ve Log Analizi

Amcrest kameralar ve ağ video kayıt cihazları (NVR) üzerinde bulunan CVE-2020-5735 zafiyeti, siber güvenlik uzmanlarının dikkat etmesi gereken ciddi bir güvenlik açığıdır. Bu zafiyet, port 37777 üzerinden stack-based buffer overflow (yığın tabanlı buffer taşması) saldırılarına olanak tanır. Bir saldırgan, bu zafiyeti kullanarak cihaza uzaktan erişim sağlayabilir, cihazın çökmesine (crash) neden olabilir ve potansiyel olarak zararlı kod (malicious code) yürütebilir. Bu koşulda, siber güvenlik uzmanlarının iyi bir durum analizi yapması ve bu tür olayları tespit etmesi için gerekli ön koşulları bilmesi hayati önem taşır.

Öncelikle, bir siber güvenlik uzmanı, Security Information and Event Management (SIEM) sistemleri ve log dosyaları (günlük dosyaları) üzerinde çalışırken, özellikle Access log (erişim günlükleri) ve Error log (hata günlükleri) kayıtlarına odaklanmalıdır. Saldırının gerçekleşip gerçekleşmediğini belirlemek için analiz edilmesi gereken birkaç önemli imza bulunmaktadır.

Yapılacak analizlerde, port 37777 üzerinden gelen ve beklenmedik bir biçimde artan giriş saldırılarına darbe yapılmalıdır. Bu tür durumlar, tipik bir kullanıcı aktiviteleri arasında olağan dışı bir artış gösteriyorsa, potansiyel bir RCE (Uzaktan Kod Yürütme) saldırısının işareti olabilir.

Log dosyalarının analizi sırasında, bir 'buffer overflow' (buffer taşması) durumu tespit edilebilir. Burada, log dosyaları içinde belirli kalıpların veya şüpheli verilerin varlığı dikkat çekici olabilir. Özellikle, port 37777 üzerinden gelen isteklerde aşırı uzun veya beklenmedik verilerin varlığı önemli bir gösterge olabilir. Aşağıdaki gibi bir kayıt, bu tür bir durumun tespitine yardımcı olabilir:

[ERROR] [2023-10-15 14:25:30] Unauthorized access attempt detected on port 37777 from IP 192.168.1.100 with payload length > 2000 bytes

Bu durumda, uzmanlar tarafından yapılacak analiz, IP adresi 192.168.1.100'un daha önce karşılaşmadıkları bir yükle (payload) port 37777'ye erişip erişmediği üzerinde yoğunlaşmalıdır. Ayrıca, loglar içindeki tekrar eden hata mesajları veya belirli bir IP adresinden gelen çok sayıda başarısız erişim denemeleri dikkatlice incelenmelidir.

Log dosyalarındaki anormallikleri belirlemek için, genel bir baz çizgisi oluşturarak normal erişim desenlerinin ne olduğunu anlamak önemlidir. Anormal bir erişim örüntüsü, örneğin belirli bir IP'nin saniyede birkaç kez giriş yapması, bir buffer overflow saldırısının ön habercisi olabilir. Bu tür durumlar, saldırganların cihaz üzerinde etki yaratmaya çalıştıklarını gösteren önemli imzalardır.

Son olarak, SIEM platformu üzerinde kural oluşturma yeteneklerinin kullanılması da önemlidir. Bu kurallar, belirli log kayıtlarının analiz edilmesini otomatikleştirerek, sahte pozitiflerin azaltılmasına ve gerçek tehditlerin hızlı bir şekilde tespit edilmesine yardımcı olabilir. Örneğin, belirli bir süre içinde port 37777'ye gelen aşırı sayıda istek kaydedilirse, bir uyarı üretecek şekilde bir kural oluşturulabilir.

Sonuç olarak, siber güvenlik uzmanları için CVE-2020-5735 zafiyetinin tespiti ve analizi, log dosyalarının dikkatli bir şekilde incelenmesi ve gerekli imzaların belirlenmesi ile mümkün olacaktır. Zafiyet tespit edildiğinde, hızlı bir yanıt ve düzeltici önlemler almak, cihazın güvenliğini sağlamak için kritik öneme sahiptir.

Savunma ve Sıkılaştırma (Hardening)

Amcrest markalı kameralar ve Ağaçlı Video Kayıt Cihazları (NVR), CVE-2020-5735 zafiyetiyle karşı karşıya kalmaktadır. Bu zafiyet, cihazların 37777 numaralı portu aracılığıyla bir yığıt tabanlı tampon aşımı (stack-based buffer overflow) sorununa yol açmakta ve bu da kayıttan düşme ya da kötü niyetli bir saldırgan tarafından uzaktan kod çalıştırma (RCE) imkanı tanımaktadır. Bu tür zafiyetler, saldırganların cihazı ele geçirmesi veya sistemden veri çalması için büyük bir fırsat sunar, dolayısıyla güvenlik uzmanlarının bu tür zafiyetlerin üstesinden gelmesi hayati önem taşımaktadır.

Zafiyetin etkilerini azaltmak ve böyle bir saldırının gerçekleşmesini önlemek amacıyla, çeşitli savunma ve sıkılaştırma (hardening) önlemleri alınabilir. Bu noktada ilk adım, cihazlarınızın yazılımlarını en son güncellemeler ile desteklemektir. Amcrest’in sağladığı güncellemeleri düzenli olarak kontrol edin ve işletim sistemine veya uygulamalara gelen güncellemeleri hızlı bir şekilde yükleyin. Güncelleme süreci, genellikle güvenlik açıklarının kapatılmasında kritik bir rol oynamaktadır.

Bununla birlikte, ağ yapılandırmanızı da gözden geçirmelisiniz. Cihazlarınızı doğrudan internete maruz bırakmak yerine, bir VPN (Sanal Özel Ağ) kullanarak, dışarıdan gelen talep ve trafiği yönetebilirsiniz. Bu, potansiyel saldırganların cihazınıza erişimini zorlaştıracak önemli bir adımdır. Ek olarak, kullanılan güvenlik duvarı (firewall) ve uygulama güvenlik duvarı (WAF) kuralları ile belirli portların kapatılması önerilmektedir. Örneğin, port 37777’in; sadece güvenilir IP adreslerine açık olacak şekilde kısıtlanması önerilebilir.

Güvenlik duvarı kuralları konusunu daha da geliştirerek, belirli zaman dilimlerinde erişimi kısıtlayan kurallar da getirebilirsiniz. Bunun için şu tür bir konfigürasyon kullanılabilir: 

iptables -A INPUT -p tcp --dport 37777 -s ! 192.168.1.0/24 -j DROP

Yukarıdaki kural, sadece 192.168.1.x ağındaki IP adreslerinin port 37777’ye erişmesine izin verirken, diğer tüm IP adreslerini engeller.

Kalıcı sıkılaştırma (hardening) önerileri arasında, cihazın varsayılan yönetici parolasını zorlamak ve mümkünse iki faktörlü kimlik doğrulama (2FA) sistemleri eklemek de yer alır. Ayrıca, ağınızdaki her bir cihazın yalnızca gereken erişim izinlerine sahip olarak yapılandırılması ve gerekmediğinde uzaktan erişimin devre dışı bırakılması kritik öneme sahiptir.

Sonuç olarak, CVE-2020-5735 zafiyeti, potansiyel olarak ciddi sonuçlar doğurabilecek bir güvenlik açığıdır. Bu tür zafiyetlerin üstesinden gelmek için, güncellemeleri takip etmek, uygun ağ yapılandırmalarını yapmak, sıkı bir güvenlik duvarı politikası uygulamak ve kalıcı sıkılaştırma önlemleri almak gereklidir. Her aşamada güvenliği önceliklendirmek, siber tehditlerin etkisini büyük ölçüde azaltacaktır. Unutulmamalıdır ki, güvenlik bir süreçtir ve sürekli olarak güncellenmesi gereken bir anlayış gerektirir.