Siber savaş / ulus-devlet saldırıları, uç nokta güvenliği, sahtekarlık yönetimi ve siber suç
CISA, kusurları aktif olarak sömürülen olarak listeler
Prajeet Nair (@prajeaetspeaks) •
6 Ağustos 2025
Bilgisayar korsanları, D-Link tarafından yapılan eski Wi-Fi kameralarında ve video kaydedicilerdeki yıllık kusurları aktif olarak sömürüyor, ABD siber güvenlik yetkililerini uyarıyor.
Ayrıca bakınız: MDR Yönetici Raporu
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Salı günü 2020 ve 2022’den bir tane aktif olarak sömürülen güvenlik açıkları listesine kadar iki güvenlik açığı ekledi. Eklemeler Aralık 2024’te, tehdit aktörlerinin devam eden hiatusrat kampanyalarının bir parçası olarak kusurlardan birine karşı savunmasız internete bakan cihazları aktif olarak taradıklarına dair danışmanlık uyarısı (bkz: bkz: FBI, savunmasız IoT cihazlarını hedefleyen hiatusrat konusunda uyarıyor).
Bilgisayar korsanları özellikle, yamalar eksikliği ve hala çevrimiçi olmasına rağmen sahipler tarafından terk edilme eğilimleri göz önüne alındığında, Botnets için yem olarak eski cihazları ödüllendiriyor. Tahminler, dünya çapında çalışan IoT cihazlarının sayısını yaklaşık 20 milyarda tutuyor. Yaşam sonu tarihlerini geçerek işlev görmeye devam eden eski veya açılmamış cihazların küçük bir yüzdesi bile milyonlarca hedefe katkıda bulunur.
CISA, bilgisayar korsanlarının CVE-2020-25078, CVE-2020-25079 ve CVE-2022-40799’u aktif olarak kullandığını söyledi. İlk iki güvenlik açığı, Tayvanlı üretici D-Link tarafından yapılan IP bağlantılı kameraları etkiler. Firma yamalar yayınladı. Sonuncusu bir D-Link Network video kaydedicisinde bir kusurdur; D-Link bunun yerine kullanıcılara cihazı kullanmayı bırakmalarını tavsiye etti.
Aralık ayında FBI, kimliği belirsiz hackerların ABD Telekom Lümeninde araştırmacılar tarafından Hiatusrat olarak adlandırılan uzaktan erişim Trojan’ı dağıtmak için CVE-2020-25078’den yararlandığı konusunda uyardı. Aynı bilgisayar korsanları 2023 yaz aylarında bir ABD askeri tedarik sistemini araştırdı ve Tayvan merkezli organizasyonları hedef aldı. Lümen, hiatus aktörlerini bilinen herhangi bir tehdit aktörüne atfetmedi, ancak hedeflerinin “Çin Halk Cumhuriyeti’nin stratejik çıkarıyla eş anlamlı olduğunu” söyledi.
CVE-2020-25078, CVSS ölçeğinde 7.5 olarak derecelendirilir ve uzaktan saldırganların kameranın yönetici şifresini almasını sağlar. Kusur, cihazın zayıf kimlik doğrulamasını atlar. Diğer iki kusur komut enjeksiyonu ve sert kodlanmış kimlik bilgisi kusurlarını içerir. Saldırganlar, etkilenen cihazların kontrolünü ele geçirmek, yapılandırmaları değiştirmek ve potansiyel olarak iç ağlara döndürmek için bu güvenlik açıklarından yararlanabilir.
Check Point Software’in bulut güvenlik mimarı Stuart Green, “Saldırganlar bir güvenlik açığının yeni mi yoksa eski mi olduğu umrumda değil – sadece başarıyla yararlanabileceklerini umursamıyorlar ve burada durum böyle.” Dedi. “Shodan’da hızlı bir arama, CVE-2020-25078’e karşı savunmasız yaklaşık 1.600 D-Link cihazını gösteriyor ve bunlar sadece çevrimiçi olanlar.”
Hiatus aktörleri kendilerini D-Link cihazlarıyla sınırlandırmadılar, FBI ayrıca Çinli şirketler Hikvision, Dahua ve Xiongmai tarafından yapılan kameraların da uyarıda bulunuyor. Lümen, Vigor tarafından yapılan tehdit oyuncusu VPN ağ geçitlerini tespit etti.