Eski Bir Kod Yüzünden Milyonlarca Aygıt Risk Altında

Geçtiğimiz ağustos ayında bir hastaneden gelen baş karıştırıcı ihbar, Armis isimli güvenlik şirketinde dikkatleri üzerine topladı. Armis’ten hizmet alan hastanenin sıvı pompasında birkaç hafta öncesinde keşfedilen ve VxWorks isimli işletim sistemi üzerinde bulunan kusur nedeniyle bu türlü bir açık vardı. Öte yandan bahsi geçen aygıtta bu işletim sistemi bulunmuyordu. 

Hastane yetkilileri, bunun yalnızca bir yanlış alarm olup olmadığını merak etse de güvenlik araştırmacıları, beklemedikleri bir sonuçla karşılaştı. VxWorks ile pompanın işletim sistemi ortasında baş karıştırıcı bir sinyalleşme fark edildi. Ortaya çıkan durum, kritik kıymet taşıyan pek çok aygıtın, örneğin hasta monitörlerinin, modemlerin, güvenlik kameralarının ve daha fazla aygıtın tehlikede olduğunu gösteriyordu. 

15 yıldır güncellemeler olsa da yanlışlar düzeltilmedi:

Armis, bugün yaptığı açıklamada, sorunun kaynağı olan açığın iddia edilenden çok daha fazla aygıtı etkilediğini açıkladı. Gerçek vakitli işletim sistemi (RTO) olarak isimlendirilen sistemler, sanayide ve sıhhat bölümünde sık sık kullanılıyor. Çok farklı platformlar olsalar da her iki tarafta da hayli eski bir koda dayalı eserler kullanılıyor. Armis Lider Yardımcısı Ben Seri, gömülü olarak kullanılan ve özel olarak yönetilmeyen aygıtların sorunu olduğunu belirtirken geçen 15 yılda kodlarda inanılmaz değişimler olsa da yanılgıların tıpkı kaldığını söylüyor. 

İsveçli Interpeak tarafından oluşturulan TCP/IP stok protokolü, pek çok firmaya satılıyor. Bu firmalar ortasında RTO kullanan firmalar da yer alıyor. 2006 yılında da Wind River tarafından VxWorks geliştirildi. Wind River, tıpkı vakitte Interpeak’i de satın aldı ve hâliyle firmanın TCP/IP stok sistemi IPNet de onlara geçti. Bu da Urgent/11 isimli yanlışın neden Becton Dickinson Alaris tarafından üretilen pompada olduğunu gösteriyor. Firma, bir öbür IPNet tabanlı sistem kullanan bir öteki firma olan ENEA’ya ilişkin bir RTO kullanıyor. 

IPNet sistemindeki açıklar, yanılgının pratikte de ortaya çıkmasından evvel Las Vegas’taki hack konferansında da konuşulmuştu. Orada BD Alaris temsilcileri ile Armis temsilcileri bir ortaya gelmişti. Bir BD Alaris temsilcisi, bu kusurun istismarının zor olduğunu belirtti. Hackerler, her aygıtı farklı ayrı amaç almak zorundalar ve akınlarında başarılı bile olsalar devam eden süreci etkileyemiyorlar. Mümkün taarruzlar, aygıtın alarmının çalmasına, ihtar ışıklarının yanmasına ve “iletişim hatası” uyarısı vermesine neden olabiliyor.

Devlet kurumlarından yetkililer, Armis ve BD Alaris temsilcileri, sistemdeki yanılgının tespiti ve ortadan kaldırılması için çalışmalar yürütüyor. Şimdilik uzmanlar açığın formuyla ilgili bilgileri topluyor.