Makale, gömülü Linux cihazlarında Trusted Platform Module (TPM 2.0) güvenliğini hedef alan yeni bir zafiyeti ortaya koyuyor. Özellikle Moxa UC-1222A Secure Edition endüstriyel bilgisayar üzerinde yapılan araştırmada, cihazın önyükleme sırasında LUKS şifreleme anahtarını açık metin olarak ifşa ettiği gösterildi. Bu durum, TPM2_NV_Read operasyonu aracılığıyla gerçekleşiyor ve anahtar, SoC ile ayrı TPM 2.0 yongası arasındaki SPI arayüzü üzerinden şifresiz olarak iletiliyor. Fiziksel erişimi olan bir saldırgan, bu SPI veriyolunu pasif olarak izleyerek LUKS şifreleme anahtarını ele geçirebilir ve cihazın şifreli depolama birimine erişebilir.
Bu bulgu, BitLocker kullanan Windows sistemlerine yönelik TPM veriyolu dinleme saldırılarının iyi belgelenmiş olmasına rağmen, gömülü Linux cihazları ve LUKS gibi BitLocker dışı hedeflere yönelik araştırmaların eksikliğini gideriyor. Moxa UC-1222A, satıcı tarafından "güçlendirilmiş bir platform" olarak pazarlanmasına ve tam disk şifrelemesi için ayrı bir TPM 2.0 çipine dayanmasına rağmen bu zafiyeti barındırıyor. Saldırganın fiziksel erişime sahip olduğu bir tehdit modelinde, özel donanım araçları kullanarak cihazın SPI veriyolunu izlemesiyle bu anahtarın elde edilebileceği kanıtlandı.
Daha önceki çalışmalar, Clevis gibi çözümlerle LUKS kullanan Linux cihazlarında TPM dinleme saldırılarının mümkün olduğunu göstermişti. Ancak, endüstriyel ve gömülü Linux sistemlerinin genellikle satıcıya özgü initramfs kancaları ve özel tedarik mantığı kullandığı göz önüne alındığında, bu tür cihazlarda anahtar materyalinin TPM veriyolu üzerinden nasıl ifşa edildiği belirsizdi. Bu araştırma, bu boşluğu doldurarak, Moxa'nın özel uygulamasında dahi anahtarın şifresiz aktarıldığını ortaya koydu. Moxa, bu sorunu kabul etti ve zafiyete CVE-2026-0714 kimliği atandı.
Gömülü Linux cihazlarında fiziksel erişimle dahi veri güvenliğinin sağlanmasının, TPM gibi donanım tabanlı güvenlik çözümlerinin uygulanmasında dikkatli olunması gerektiğini gösteriyor.