Salt Typhoon sonrasında telekom yığınının güvensizliği

 (soatok.blog)
1 puan yazan GN⁺ 2025-03-14 | 1 yorum | WhatsApp'ta paylaş

  • Telekom yığınının kırılganlığı

    • Arka plan: Geçen yılın sonunda, "Salt Typhoon" adlı bir grubun T-Mobile ve diğer telekom şirketlerini hacklediği bir olay yaşandı. Bu olay, telekomla ilgili açık kaynak yazılımların güvenliğinin gözden geçirilmesine vesile oldu.

  • FreeSWITCH'in XMLRPC kütüphanesindeki arabellek taşması

    • Sorun: FreeSWITCH'in XMLRPC kütüphanesinde HTTP istek işleyicisi, 4096 baytlık bir stack değişkenine keyfi uzunlukta bir URI yazıyor. Bu, saldırganın 4096 karakterden uzun bir URI gönderebilmesi nedeniyle arabellek taşmasına yol açabilecek bir zafiyet.

    • Çözüm: Savunmacı C programlaması uygulamak için snprintf() kullanılmalı.

  • Soatok'un zafiyeti açıklama girişimi

    • 2025-01-27: Zafiyet ayrıntıları, FreeSWITCH'in güvenlik politikasında belirtilen e-posta adresine gönderildi.

    • 2025-02-07: Raporun alınıp alınmadığını doğrulamak için takip e-postası gönderildi.

    • Yanıt: Andrey Volk, zafiyetin yakın zamanda düzeltildiğini söyledi. Ancak yeni güvenlik düzeltmesi içeren bir sürüm etiketlenmedi.

  • Ortaya çıkan sorun

    • Bir SignalWire çalışanı, FreeSWITCH Advantage satın almayan kullanıcıların yaz aylarına kadar zafiyete açık kalacağını belirtti. Bu da binlerce telekom yığınının savunmasız durumda kalabileceği anlamına geliyor.

  • Telekom güvenliğindeki sistemik sorun

    • Sorunun nedeni: Telekom sistemlerinin güvenliğine yatırım yapmak için yeterli ekonomik teşvik yok. Bu da telekom güvenliğinin bugün hâlâ zayıf olmasının nedeni.

    • Gelecekteki olasılıklar: Rust ile FreeSWITCH'e rakip bir ürün geliştirmek ya da ABD'nin telekom altyapısının güvenliğine yatırım yapacak siyasi iradenin ortaya çıkması mümkün olabilir.

  • Kapanış düşünceleri

    • Bu sorun basit bir teknik mesele, ancak arkasında daha büyük bir problem yatıyor olabilir. SignalWire'ın yaklaşımı hayal kırıklığı yarattı, ancak yine de 90 gün içinde yanıt verdiler ve GitHub'da sorunu düzelttiler. FreeSWITCH yığınında herkese açık HTTP erişimini güvenlik duvarı seviyesinde engellemek gibi önlemler düşünülebilir.

İlgili okumalar

1 yorum

 
GN⁺ 2025-03-14
Hacker News görüşü

  • Yazar, operatör düzeyinde altyapı deneyimi olmadığını kabul ediyor, ancak şüphelerinin özü itibarıyla doğru olduğunu söylüyor

    • Birden fazla büyük operatör için 4G ve 5G güvenlik testleri ve araştırmaları yürütme deneyimine sahip
    • Operatöre ve ürün tedarikçisine göre değişse de güvenlik hâlâ çok zayıf
    • Yakın zamana kadar güvenlik tamamen gizliliğe dayanıyordu; 4G ve 5G standartları bunu düzeltmeye başlamış olsa da hâlâ büyük zayıflıklar var
    • Orta düzeyde bir tehdit aktörünün bir operatöre sızabilme olasılığı yüksek
    • Belirli bir Doğu Asya ülkesindeki donanım tedarikçisinin yazılımı o kadar kötü yazılmış ki güvenlik neredeyse yok
    • Batılı donanım tedarikçileri daha olgun yazılımlara sahip, ancak yine de modern güvenlik en iyi uygulamalarının gerisinde kalıyor

  • 2025 yılında mobil telefon standartlarında hâlâ önceden paylaşılan anahtarlar kullanılmasını anlamakta zorlanıyor

    • RSA ve Diffie Hellman gibi algoritmalar onlarca yıldır var
    • SIM kartlar hâlâ yalnızca kartın ve operatörün bildiği önceden paylaşılan anahtarlarla yapılandırılıyor ve tüm kimlik doğrulama ile şifreleme bu anahtara dayanıyor
    • Operatör hacklenir ve anahtarlar çalınırsa yapılabilecek bir şey yok
    • SIM kart üreticisinin anahtarları operatöre göndermesi gerektiğinden, bu süreçte hacklenme veya anahtar hırsızlığı için fırsat oluşuyor
    • SIM üreticisi ya da çekirdek ağ ekipmanı tedarikçisi NSA ile iş birliği yapıp anahtarları verirse, dünya çapındaki mobil telefon trafiğinin dinlenmesi mümkün olabilir

  • Freeswitch'in topluluk sürüm takviminden geri adım atmamasıyla ilgili blog yazısının sonucu hiç şaşırtıcı değil

    • Freeswitch güçlü bir topluluk ruhuna sahipti
    • Birkaç yıl önce daha agresif bir ticari yöne kayınca durum değişti
    • Artık "kayıt" yoluyla erişilmesi gereken şeyler var; bu da ticari bir şirkete kişisel bilgi vermeyi rahatsız edici kılıyor

  • Yabancı tehdit aktörleri, Five Eyes/diğer Batılı anlaşmalar ve gelir artırma baskısı arasında, internette gerçek anonimlik olmadığını varsaymak makul

    • Bu, internet öncesi dönemden çok da farklı değil
    • Önemli bilgileri korumak için elektronik olarak erişilmesi zor yöntemlerle şifrelemek gerekiyor

  • Freeswitch'in destek sözleşmesi olmadan sık kullanıldığı alanlardan biri, okul ve üniversitelerdeki BigBlueButton kurulumları

    • Operatörlerden çok bunlar hakkında endişeleniyor

  • "Telekom güvenliği bugün berbat durumda" iddiasından tamamen emin değil

    • Freeswitch'i rastgele seçip buffer overflow bulduğunu söylemek zayıf bir kanıt
    • Salt Typhoon saldırısının Cisco açıklarını kullandığı iddia edilse de analistler saldırganların geçerli kimlik bilgileri kullandığını öne sürüyor

  • XML RPC modülünü kaç kişinin kullandığını merak ediyor

    • Varsayılan olarak yüklenmiyor
    • Shodan'a göre 468 kişi kullanıyor

  • CAMEL MAP injection ile gerçekten çok iyi hackler yapılabiliyor

    • SMS, USSD, konum servisleri gibi çeşitli işlevleri kontrol ediyor
    • Varlıklı Karayip adalarındaki ve Endonezya'daki "toplu SMS" sağlayıcıları spam göndermenin ötesinde işler yapıyor

  • Büyük operatörler çekirdek ağlarında FreeSwitch veya Asterisk çalıştırmıyor

  • P1 Security'nin mobil iletişim güvenliğiyle ilgili sunumlarına bakılmasını şiddetle tavsiye ediyor

    • Eski materyaller ama işlerin iyileştiğine inanmak için bir neden yok
    • Yazılım güvenlik açıkları sorunun yalnızca bir kısmı; operatörler denetimi ve kritik erişimi en düşük teklifi verene dış kaynak olarak devrediyor