روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در مودم‌های سلولی Telit Cinterion M2M آسیب‌پذیری‌های جدی‌ای شامل امکان اجرای کد دلخواه از طریق پیام‌های sms کشف شده است. این مودم‌ها در میلیون‌ها دستگاه و سیستم مختلف هم در بخش بازار مصرف‌کننده (پایانه‌های پرداخت، دستگاه‌های خودپرداز و خودروها) و هم صنایع مختلف مانند مراقب بهداشتی، مالی، مخابرات، تولید و غیره استفاده می‌شوند. ما در این مقاله آسیب‌پذیری‌های شناسایی‌شده را شرح داده و توضیح می‌دهیم برای محافظت از خود در برابر آن‌ها باید چه کرد.

فهرست آسیب‌پذیری‌های حیاتی

در مجموع، کارشناسان Kaspersky ICS-CERT هفت آسیب‌پذیری روز صفر را در مودم‌های Telit Cinterion کشف کردند:

•         CVE-2023-47610 / KLCERT-23-018:  مهاجم می‌تواند با ارسال پیام کوتاهِ بطورخاص ساخته‌شده، به اجرای کد از راه دور (RCE) روی سیستم دست یابد.
•         CVE-2023-47611 / KLCERT-22-216:به مهاجمی با امتیازات پایین در سیستم اجازه می‌دهد تا آنها را به سطح "تولیدکننده" ارتقا دهد.
•         CVE-2023-47612 / KLCERT-22-194: مهاجم با دسترسی فیزیکی به دستگاه، توانایی خواندن و نوشتن هر فایل و دایرکتوری روی سیستم، از جمله موارد مخفی را دارد.
•         CVE-2023-47613 / KLCERT-22-211:به مهاجمی با امتیازات کم در سیستم اجازه می‌دهد تا از دایرکتوری مجازی فرار و به فایل‌های محافظت‌شده دسترسی خواندن و نوشتن پیدا کند.
•         CVE-2023-47614 / KLCERT-22-210:به مهاجمی با امتیازات کم در سیستم اجازه می‌‌دهد تا مسیرهای مجازی پنهان و نام فایل‌ها را فاش کند.
•         CVE-2023-47615 / KLCERT-22-212:به مهاجمی با امتیازات پایین در سیستم اجازه می‌دهد تا به داده های حساس دسترسی غیرمجاز داشته باشند.
•         CVE-2023-47616 / KLCERT-22-193:یک مهاجم با دسترسی فیزیکی به دستگاه، توانایی دسترسی غیرمجاز به داده‌های حساس را دارد.

خطرناک‌ترین همان آسیب‌پذیریِ اول این فهرست است (CVE-2023-47610). از میان موارد دیگر، این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا مموری و فلش‌درایو مودم را دستکاری کنند و در نهایت هم کنترل کل سیستم برای آن‌ها خواهد بود. افزون بر این، حمله مذکور نیاز به دسترسی فیزیکی به دستگاه یا احراز ندارد.

چه دستگاه‌هایی، آسیب‌پذیری‌های شرح داده‌شده را دارند؟

همه آسیب‌پذیری‌های ذکر شده در بالا، از CVE-2023-47610 تا CVE-2023-47616، بر فهرست زیر از مودم‌های اینترنت اشیا سلولی تأثیر می‌گذارند:

Cinterion BGS5

Cinterion EHS5/6/8

Cinterion PDS5/6/8

Cinterion ELS61/81

Cinterion PLS62

اطلاعات درباره آسیب‌پذیری‌های این محصولات پیشتر به Cinterion که تولیدکننده این مود‌م‌هاست داده شد و شایان ذکر است که خط مودم Cinterion در گذار زمان دستخوش تغییرات زیادی شده. شرکت Cinterion در سال 2010 توسط Gemalto خریداری شد و بعد در سال 2019 Gemalto جذب شرکت Thales شد. در آخر در سال 2023 Thales خط تولید مودم‌های Cinterion را به Telit فروخت و نتیجه شد Telit Cinterion. برای همین سخت است در این مرحله فهرستی کامل درست کنیم از محصولات نهایی که تحت تأثیر این آسیب‌پذیری‌ها قرار گرفتند. تولیدکننگان به ندرت پایه اجزای استفاده‌شده در محصولات خود را افشا می کنند و تراشه‌های سلولی مودم اغلب ستقیم در دستگاه‌های نهایی تجمیع نمی‌شوند بلکه بخش‌هایی می‌شوند از باقی اجزا. و در نهایت چیزی که با آن سر و کار داریم، یک تو در توی چندمرحله‌ای است: تأمین‌کننده‌ای از راهکارهای تأمین‌کننده دیگر در محصولات خود استفاده می‌کند؛ آن تأمین‌کننده از سومی و سومی از بعدی و این چرخه در تکرار خواهد بود. در نتیجه، حتی برای تولیدکننده دستگاه نهایی هم تعیین اینکه کدام تراشه عملکرد مودم را اجرا می‌کند کار ساده‌ای نیست. در آینده نزدیک، متخصصین ما قصد دارند گزارش فنی مبسوطی را در باب امنیت مودم‌های  Telit Cinterion در وبسایت Kaspersky ICS-CERT منتشر کنند. اکنون در حال ارتباط‌گیری با تولیدکنندگان آن دسته از محصولاتی هستیم که معروف به استفاده از مودم‌های آسیب‌پذیر هستند. اگر از چنین محصولاتی اطلاع دارید، لطفاً به ما در آدرس mailto:ics-cert@kaspersky.com اطلاع دهید. ما سعی خواهیم کرد با تولیدکنندگان تماس بگیریم و گزارش آسیب‌پذیری مودم را به آنها ارائه کنیم تا بتوانند تأثیر آسیب‌پذیری‌ها را بر امنیت محصولات خود ارزیابی کرده و اقدامات کاهشی را برنامه‌ریزی کنند.

راهکارهای امنیتی

کارشناسان Kaspersky ICS-CERT برای محافظت در برابر خطرناک‌ترین آسیب‌پذیری های کشف‌شده CVE-(2023-47610)، اقدامات زیر را توصیه می‌کنند:

•         غیرفعال کردن تحویل پیامک به دستگاه‌های آسیب‌دیده (این کار را اپراتور مخابراتی می‌تواند انجام دهد).
•         از یک نام نقطه دسترسی خصوصی  APN) ) با تنظیمات امنیتی دقیق استفاده کنید.

برای سایر آسیب‌پذیری‌ها (از CVE-2023-47611 تا CVE-2023-47616)، کارشناسان Kaspersky ICS-CERT توصیه می‌کنند موارد زیر را انجام دهید:

•         تأیید امضای برنامه را برای جلوگیری از نصب MIDlet های غیرقابل اعتماد در دستگاه اجرا کنید.
•         دسترسی فیزیکی به دستگاه‌های آسیب پذیر را به شدت کنترل کنید.
•         به روز رسانی‌ها را نصب کنید و بازرسی‌های امنیتی را بطور منظم انجام دهید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.