- Salt Typhoon ihlalinin ardından telekomünikasyon açık kaynaklarını incelerken, FreeSWITCH ile birlikte gelen XMLRPC kütüphanesinde kimlik doğrulamasız bir buffer overflow bulundu
- Zafiyet, saldırganın sağladığı Request URI’nin 4096 baytlık bir stack değişkenine
sprintf()ile yazıldığı koddan kaynaklanıyor; tarayıcı sınırlamalarından bağımsız olarak 4096 karakteri aşan istekler mümkün olabilir - SignalWire, 2025 Şubat’ında GitHub’da 3 düzeltme PR’ının yayımlandığını söyledi; ancak FreeSWITCH Community için yeni bir sürümün 2025 yazına kadar planlanmadığını belirtti
- Shodan’da FreeSWITCH arama sonuçları yaklaşık 8.300 adetti; sürüm etiketi olmayan operatörlerin kaynak koddan derleme veya güvenlik duvarıyla engelleme gibi adımlarla kendilerinin müdahale etmesi gereken bir durum oluştu
- Bu örnek, telekomünikasyon güvenliğindeki riskin yalnızca zafiyetin kendisinden değil, zafiyet yönetimi ve sürüm müdahalesinden de büyüdüğünü gösteriyor; 30 Nisan 2025’te CVE-2025-44087 atanmış olmasına rağmen FreeSWITCH sürümü yayımlanmamıştı
Salt Typhoon sonrasında FreeSWITCH’e bakma nedeni
- 2024’ün sonunda, Çin hükümetiyle bağlantılı olduğu bildirilen Salt Typhoon grubunun T-Mobile ve diğer telekom operatörlerini ihlal ettiği haberleri başlangıç noktası oldu
- Mobil operatör ağlarını doğrudan incelemek mümkün değildi, ancak GitHub’da telekomünikasyonla ilgili çok sayıda açık kaynak proje vardı
- Geçmişte Asterisk ve FreeSWITCH kullanan şirketlerle çalışma deneyimi vardı; ancak PBX, SIP ve ses kodlama konularını derinlemesine analiz etmiş değildi
- Telekomünikasyon alanında çok iyi C programcıları, eski hacker toplulukları ve Bell Labs kökenli mühendislerin geleneği bulunduğundan, basit zafiyetlerin zaten keşfedilmiş olacağını varsaydı
- Ancak FreeSWITCH kaynak kodunu açar açmaz zafiyet bulundu
XMLRPC HTTP istek işleyicisinde buffer overflow
- FreeSWITCH ile birlikte gelen XMLRPC kütüphanesinin HTTP istek işleyicisi, URI’yi sabit boyutlu stack buffer olan
z[4096]içine yazıyor - Sorunlu kod
sprintf(z, "Index of %s" CRLF, uri);biçiminde;uriRequest URI’nin path bölümünden geldiği için saldırgan tarafından kontrol edilebiliyor - Yaygın tarayıcılar çoğu zaman 2048 karakterden uzun URL’leri iyi desteklemese de ilgili RFC’ler genellikle yaklaşık 8KB’a kadar izin veriyor ve Cloudflare 32KB’a kadar destekliyor
- Bir saldırganın 4096 karakteri aşan bir Request URI gönderebileceğini varsaymak makul; bu koşul XMLRPC kütüphanesinde kimlik doğrulamasız buffer overflow ile sonuçlanıyor
- Uzaktan kod çalıştırmaya genişletme süreci ele alınmıyor
Düzeltme yöntemi ve yayımlanan yamalar
- Düzeltme yönü
sprintf()yerinesnprintf()kullanmak - Bu, temel savunmacı C programlama pratiğine karşılık geliyor
- SignalWire, sorunun yakın zamanda düzeltildiğini söyleyerek şu PR’ları gösterdi
- Yama zaten GitHub’da açık durumda olduğu için kamuya açık bir yazı yazılabileceği değerlendirildi
Zafiyetin açıklanma süreci ve sürüm boşluğu
- 27 Ocak 2025’te, zafiyetin ayrıntıları FreeSWITCH güvenlik politikasında belirtilen e-posta adresine gönderildi
- 7 Şubat 2025’te, raporun alınıp alınmadığını doğrulamak için takip e-postası gönderildi
- Aynı gün Andrey Volk, zafiyetin yakın zamanda düzeltildiğini ve ilgili PR’lara bakılmasını söyledi
- Yeni güvenlik düzeltmesini içeren sürüm etiketi takvimi sorulduğunda, FreeSWITCH Community sürümünün 2025 yazına kadar planlanmadığı yanıtı alındı
- Bu nedenle FreeSWITCH Advantage için ödeme yapmayan kullanıcılar, düzenli sürüm zamanına kadar zafiyetli durumda kalabilir
Açığa çıkma ölçeği ve operatörlere etkisi
- O dönemde Shodan’da FreeSWITCH arama sonucu yaklaşık 8.300 idi
- Bu instance’ların tamamının kurumsal destek için ödeme yaptığını varsaymak zor olduğundan, dünya genelinde binlerce telekomünikasyon yığınının yaza kadar zafiyetli kalabileceği değerlendirildi
- Yama GitHub’da yayımlanmış olsa bile sürüm etiketi yoksa sıradan operatörlerin kolayca güncelleme yapması zor
- FreeSWITCH operatörleri, SignalWire’ın sürümünü beklemek yerine şu adımları değerlendirmeli
- Kaynaktan doğrudan yeniden derleme
- Güvenlik duvarı düzeyinde FreeSWITCH yığınının herkese açık HTTP erişimini engelleme
Telekomünikasyon güvenliğinin yapısal sorunu
- Telekom sektöründen bir tanıdıkla yapılan konuşmada, FreeSWITCH’in yanıt hızının bile hızlı sayılacağı yönünde bir tepki geldi
- 2024 Aralık’ında da telefon ağlarında 17 yıldır var olan SS7 zafiyeti hakkında yeniden uyarı yapıldı
- Bu deneyimden sonra Asterisk veya başka yazılımlara ayrıca bakılmadı
- Sonuç olarak günümüz telekomünikasyon güvenliği kötü durumda olarak değerlendiriliyor
- Bu sistemleri güvenli hale getirmekten para kazanmayı sağlayacak teşvikin neredeyse hiç olmaması büyük bir neden gibi görünüyor
Sonraki durum
- 30 Nisan 2025 güncellemesinde, bildirilen buffer overflow’a CVE-2025-44087 atandı
- Aynı noktada FreeSWITCH için hâlâ etiket veya sürüm yoktu
1 yorum
Hacker News yorumları
Yazar, operatör ölçeğinde altyapı deneyimi olmadığını kabul ediyor; ama şüphesi genel olarak doğru
Gerçekten de birçok büyük operatöre yönelik epey 4G/5G sızma testi ve güvenlik araştırması yaptım; operatöre ve ekipman üreticisine göre farklar olsa da hâlâ tam anlamıyla bir korku gösterisine yakın
Çok yakın zamana kadar güvenlik fiilen gizlilik yoluyla güvenlikten ibaretti; 4G/5G standartları bunu ele almaya başladı, ama hâlâ ciddi biçimde kaygılandıracak büyüklükte açıklar var
Bir operatörde tutunma noktası oluşturmak isteyen orta seviye ve üzeri tehdit aktörlerinin bunu yapabileceğini düşünmek abartı değil; bunu mesleki olarak birkaç kez gösterdim
Belirli bir Doğu Asya ülkesinin ekipman üreticilerinin yazılım yığını o kadar düşük kalitede ki neredeyse APT olarak sınıflandırılabilecek düzeyde; güvenlik ise fiilen yok
Batılı ülkelerin bunları yasaklamasının makul nedenleri var; Batılı ekipman üreticilerinin yazılımları çok daha olgun, ama yine de modern güvenlik en iyi uygulamaları diye gördüğümüz seviyenin birkaç yıl gerisinde
GCHQ, kod kalitesinin incelenemeyecek düzeyde olduğunu ve sağlanan kaynak kodunun gerçek ekipmanda çalışan kod olup olmadığının bile garanti edilemediğini düşündü
Bunun nedeni Huawei'nin doğrudan güncelleme yapabilmesiydi; bildiğim kadarıyla söz konusu ekipman 2020'den sonra yasaklandı: https://www.washingtonpost.com/world/national-security/brita...
AliExpress'ten bir tane alıp içine bakmak istiyorum; bu bağlantı başlangıç noktası olarak uygun olur mu?
https://vulners.com/search/types/huawei
2025'te bile mobil iletişim standartlarında önceden paylaşılan anahtar kullanılmasının nedenini gerçekten anlayamıyorum
RSA ve Diffie-Hellman[1] on yıllardır var, sertifika otoritesi yapıları da uzun süredir mevcut; ama SIM kartlar hâlâ yalnızca kartın ve operatörün bildiği önceden paylaşılan anahtarla veriliyor ve sonraki kimlik doğrulama ile şifrelemenin tamamı bu anahtara dayanıyor
Operatör hacklenip anahtar sızarsa yapılabilecek bir şey yok
Daha kötüsü, bu anahtarı SIM kart üreticisinin operatöre göndermesi gerekiyor; üretici başka bir ülkedeyse yabancı hükümet taleplerine maruz kalabilir, dolayısıyla üreticinin hacklenmesi veya iletim sırasında ele geçirilmesi için bolca fırsat doğuyor
Bu bana NOBUS açığı gibi geliyor; SIM üreticisi ya da çekirdek ağ ekipmanı tedarikçisi NSA ile işbirliği yapıp anahtarları verirse, dünya çapındaki mobil iletişim trafiği potansiyel olarak dinlenebilir
[1] Bu algoritmaların artık en iyi uygulama olmadığını ve eliptik eğrilerin daha iyi olduğunu biliyorum; ama mevcut durumdan RSA bile daha iyi
[2] https://nickvsnetworking.com/hss-usim-authentication-in-lte-...
“Edward Snowden'ın sağladığı NSA'in çok gizli belgelerine göre, Amerikalı ve Britanyalı casuslar dünyanın en büyük SIM kart üreticisinin iç bilgisayar ağlarına sızarak, dünya genelindeki cep telefonu iletişiminin gizliliğini korumak için kullanılan şifreleme anahtarlarını çaldı”
https://theintercept.com/2015/02/19/great-sim-heist/
Bunun bugün hâlâ böyle olup olmadığını bilmiyorum; ama geçmişte cep telefonunu güvenli bir iletişim aracı olarak görmek zordu
Muhtemelen cihazlar arası şifreli veri iletişimiyle konuşmak gerekir
Simetrik anahtar algoritmalarının kuantuma dayanıklı olma avantajı da var
Yine de 2025'e gelindiğinde en azından ECC desteği olmasını isterdim; artık çoğu akıllı kartın bunu varsayılan olarak destekleyebilmesi gerekir
SIM kart şirketine güvenemiyorsanız aslında bir çözüm yok
Asimetrik yöntemde de saldırı yolu yalnızca biraz değişir; kartta çalışan yazılıma güvenemiyorsanız, deterministik olmayan algoritmaların rastgele sayı seçimi üzerinden düz metni sızdırmadığını nasıl bilebilirsiniz?
Simetrik bir sisteme RSA eklemenin sistemi daha güvenli hâle getireceği düşüncesinin dayanağı zayıf; hatta neredeyse tersi doğru
“NOBUS açığı” ifadesi de özellikle tuhaf, çünkü böyle bir sistemde güven kökü operatördür
Bir ABD operatörünün ABD istihbarat kurumlarıyla “işbirliği” yapıp yapmadığını sormaya gerek bile yok; zaten öyle olduğunu varsaymak gerekir
Dolandırıcılar operatörlerin büyük müşterileridir; yakalanıp engellendiklerinde geri dönüp yeni hat aktivasyon ücreti öder ve aynı süreci tekrarlarlar
Dolandırıcılar sayesinde ek özelliklerin üst pakete satışı da mümkün olur; yani sorunu çözmemek de ayrıca gelir getirir
Blog yazısının sonucunda belirtildiği gibi Freeswitch’in topluluk sürüm takvimini değiştirmemesi hiç şaşırtıcı değil
Eskiden Freeswitch’te güçlü bir topluluk ruhu vardı, ancak birkaç yıl önce daha agresif biçimde ticarileştikten sonra hava değişti
Ondan sonra herkese açık olması gereken şeylere erişmek için “kayıt” sürecinden geçmek gerekiyordu; hatırladığım kadarıyla APT deposu gibi bir şey kayıt duvarının arkasına saklanmıştı
Özgür yazılım topluluğu içeriklerine erişmek için ticari bir şirkete kayıt olmak istemiyorum
Çünkü teknoloji sektöründe ticari bir şirkete bilgi verdiğinizde satış temsilcilerinin üst satış ve çapraz satış için sizi rahatsız edeceğini, istemediğiniz e-posta listelerine ekleyeceğini herkes bilir
VoIP topluluğunun diğer kısımlarının da açık kaynağa yönelik cömertliklerini yeniden ayarladığını gördüm; açıkçası onları suçlamak zor
Matrix.org ekibi de FOSDEM’25 sunumlarından birinde benzer şekilde, ticari tedarikçilerin geliştirmeden bedavaya yararlanması sorunundan bahsetmişti
APT deposunu da ücretsiz güncelleseler gerçekten minnettar oluruz, ama bu tam da o kadar: “minnet duyulacak bir iş”
Onların koduna bağımlı olup destek ücreti ödemek istemiyorsanız APT paketlerini kendiniz derleyebilirsiniz
Tek bir şirketin sürdürdüğü böyle bir projede nasıl bir topluluk ruhu beklenmesi gerektiğinden pek emin değilim
Yabancı tehdit aktörleri, Five Eyes gibi Batılı ittifaklar ve sayıları sürekli artırma baskısı düşünüldüğünde, internette gerçek anonimlik yok demek makul
Sizi istiyorlarsa yakalayacak araçlara da sahipler
Aslında internet öncesi dönemden çok farklı değil
Dinlenmek istemiyorsanız, büyük güvenlik kurumlarının elektronik olarak kolayca erişemeyeceği bir biçimde şifreleme yapmalısınız
Fiziksel notlar, ağızdan ağıza aktarma, el işaretleri gibi yöntemler yani
Ayrıca bir devlet aktörü verileri gerçekten kullanmak için kaynak ayırdığında, çevrimiçinde söylediğiniz ve yaptığınız şeylerin sonuçlarına katlanmaya hazır olmanız gerekir
Sadece makaleye bakınca “günümüz telekom güvenliği berbat” sonucuna tamamen ikna olmuyorum
Çünkü bu daha çok Freeswitch’i gelişigüzel seçip bir buffer overflow bulmaya benziyor
“Telekom yığını” savunmasız olabilir de olmayabilir de, ama burada sunulan kanıt çok zayıf
Salt Typhoon saldırısının Cisco açıklarını kötüye kullandığı bildirildi, ancak analistler saldırganın geçerli kimlik bilgileri kullanmış olabileceğini de öne sürdü: https://cyberscoop.com/cisco-talos-salt-typhoon-initial-acce...
Dolayısıyla bunun Freeswitch ile ilgisi yok
Oracle SBC, temel davranışıyla bile sık sık kararsızdır; Teams’in bu hafta çıkardığı TRouter uygulamasındaki karmaşanın içinde de düzgünce ayrıştırılamamış hizmet reddi hataları mutlaka vardır
MF Tandem karmaşasından ya da neredeyse tüm operatörlerin ham, şifrelenmemiş UDP SIP trafiğini internete olduğu gibi akıtmasından hiç söz etmeyelim
Bu alanda güvenli sistemler kurmak mümkün, ama gerçek şu ki büyük operatörlerin çoğu, Nortel ve Metaswitch gibi çoktan ölmüş şirketlerin ya da projelerin kapalı ve değiştirilemez platformlarını ve ağı oluşturan eski, yamalanmamış ekipmanlardan bile daha kötü teknik borç yığınlarını işletiyor
“Her şey berbat ve düzeltmek için motivasyon yok” ifadesi sadece bir özet
Açıkçası o konuşmaları jargon bilmeden takip etmek çok zor; ben de bu alanı yeterince anlamadığım için beceriksizce açıklamaya çalışmak istemedim ve bu yüzden sadece böyle yazdım
Blogumun Hacker News’te görüneceğini hiç beklemiyordum
Birkaç nesillik mirasa sahip karmaşık ağ protokollerini ayrıştıran kod; çoğu zaman kapalı kapılar ardında yazılıyor ve genellikle C/C++
Bunun savunmasız olması mümkün değildir tabii. Tabii ki
SS7 gibi protokoller, hacker ya da kötü niyetli aktör kavramı olmadan tasarlandı
Üzerine firewall koyabilirsiniz, ama bu istenen işlevlerle çakışır; çakışmasa bile ek yatırım gerektirir
DIAMETER daha iyi, ama hâlâ çok delikli
Son yıllarda telekom güvenliği öncelik haline geldikçe iyileşmeler oluyor, ancak onlarca yıllık legacy donanım, yazılım, firmware ve ağ tasarımını sarmalamak gerekiyor
Telekom ağlarında standart Freeswitch’i olduğu gibi çalıştıran bir yer olduğunu sanmıyorum, ancak eski bir telekom ürünü olarak Freeswitch’te beklenen ölçüde güvenlik aranmamış olmasından doğan sorun türleri her yerde var
Yazarın boş zamanında koda bakıp hata bulması ve bildirmesi harika; bunu kesinlikle engellemek istemem
Ancak tek bir yazılımın tek bir bakım sorumlusunun, güvenlik sektörü en iyi uygulamalarına uygun olarak yazara boyun eğmemiş olması, “günümüz telekom güvenliği berbat” demek için zayıf bir gerekçe
Biri kodunuzdaki bir hatayı getiriyor, bunun fiilen kötüye kullanıldığını iddia etmiyor ve kötüye kullanım olasılığını doğrulayacak bir PoC de sunmuyorsa, bunu sıradan bir hata gibi ele almamak için neden var mı?
Şimdi düzeltip bir sonraki sürüme koyarsınız
Değişiklikleri insanlar görebilir mi? Evet, diğer değişiklikleri de herkes görebilir
Exploit bulabiliyorlarsa bol şans; bildiren kişi bulamamış
Linux dağıtımlarında da aynı şey olur
Güvenlik hatası bildirilir ve bazen upstream yazarı inatçı olmanın ötesinde, kelimenin tam anlamıyla hayatta değildir
Kendi takviminize göre değiştirmek istiyorsanız sürümü kendiniz çıkarırsınız
Freeswitch’in epey sık kullanılıyor olabileceği alanlardan biri okulların ve üniversitelerin BigBlueButton kurulumları
Bu bir sanal sınıf sistemi ve çoğu kişi bunu destek sözleşmesi olmadan kullanıyor olabilir; operatörlerden çok bu taraf beni daha fazla endişelendiriyor
XML RPC modülünü gerçekten kaç kişinin kullandığını merak ediyorum
Varsayılan olarak yüklenmiyor
Düzeltme: Shodan'a göre 468 tane
XML RPC modülünde
senddirectorydocument'ın gerçekten kullanılıp kullanılmadığını da merak ediyorumcurl --show-error --get --request GET --user freeswitch:works "http://localhost:8080/${SIXTEEN_THOUSAND_RANDOM_CHARACTERS}"Bunu tetiklemenin bir yoluna dair fikri olan var mı?
En azından segfault üreten bir PoC çıkarsa güvenlik sürümü yayımlama ihtimalleri daha yüksek olur gibi
Asıl iyi hack CAMEL MAP enjeksiyonunda oluyor
SMS, USSD ve tacın mücevheri olan konum servislerine kadar her türlü güzel şeyi kontrol ediyor
Karayipler'deki zengin adalarda ya da Endonezya gibi yerlerde bulunan birçok “toplu SMS” şirketi, spam göndermekten çok daha fazlasını yapıyor
Yani eski; 2G 1990'larda tasarlandı
İnsanların ne beklediğini pek bilmiyorum
Dürüst olmak gerekirse çalışıyor olması bile iyi
Büyük operatörler çekirdekte FreeSwitch veya Asterisk çalıştırmaz
Motorola elbette bu ürünü sonlandırıyor, ama sahada mevcut
Benim ilgilendiğim sistem sıkı biçimde firewall arkasında, ancak hepsinin böyle olduğunu sanmıyorum
Temel çağrı yönlendirme ve PSTN bağlantısının ötesinde işler yapmak isteyen PBX sahibi şirketlerin çoğu üçüncü taraf araçlar kullanıyor olacaktır
Ve bu araçların önemli bir kısmı FreeSWITCH, Asterisk veya benzerleri üzerine inşa edilmiş durumda
Mobil iletişim güvenliğiyle ilgili P1 Security sunumunu şiddetle öneririm: https://www.slideshare.net/slideshow/day1-hacking-telcoequip...
Eski bir materyal, ama daha iyiye gittiğine inanmak için bir neden yok
Çünkü iyileştirme için hiçbir teşvik yok
Üstelik yazılım güvenlik açıkları sorunun yalnızca bir parçası; diğer tarafı ise operatörlerin kontrolü ve kritik erişim yetkilerini en düşük teklifi verene gönüllü olarak dış kaynakla devretmesi: https://berthub.eu/articles/posts/5g-elephant-in-the-room/.