Siber güvenlik uzmanları, Helldown fidye yazılımını dağıtmak için Zyxel güvenlik duvarındaki güvenlik açıklarından yararlanan bir saldırı dalgasını ortaya çıkardı.
İlk olarak Ağustos 2024’te gözlemlenen bu yeni fidye yazılımı operasyonu, hızla ilgi toplayarak dünya çapındaki kuruluşları hedef alıyor ve Zyxel’in güvenlik duvarı sistemlerindeki güvenlik açıkları aracılığıyla ağlarının güvenliğini tehlikeye atıyor.
Bu saldırıların merkezinde, CVE-2024-11667 olarak takip edilen ve Zyxel ZLD donanım yazılımının 5.00 ile 5.38 arasındaki sürümlerini etkileyen kritik bir dizin geçiş güvenlik açığı yer alıyor.
Bu kusur, saldırganların hazırlanmış bir URL aracılığıyla dosya indirmesine veya yüklemesine olanak tanıyarak hedeflenen ağlarda yetkisiz erişime ve kötü amaçlı faaliyetlere yol açabilir.
Ancak güvenlik araştırmacıları, şirketin bu güvenlik açığı da dahil olmak üzere çeşitli güvenlik endişelerini gidermek için hızlı bir şekilde harekete geçtiğini gözlemledi.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Teknik Analiz
Helldown fidye yazılımı grubunun bu güvenlik açığından yararlanarak aşağıdakileri yaptığı gözlemlendi: –
- Kurumsal ağlara ilk erişim kazanın
- Yetkisiz hesaplar oluşturun (örneğin, “SUPPORT87”, “OKSDW82A”)
- SSL VPN ile güvenli bağlantılar kurun
- Güvenliği ihlal edilmiş ağlar içinde yanal olarak hareket edin
- Uç nokta savunmalarını devre dışı bırakın
- Hassas verileri sızdırın
- Kritik varlıkları şifreleyin
Saldırıların önemli yansımaları oldu: –
- Zyxel Europe’un kendisinin de kurbanlar arasında olduğu bildirildi
- Helldown’ın veri sızıntısı sitesinde dünya çapında en az 32 kurban listelendi
- CERT-Bund’a (BSI) göre beş Alman kuruluşunun şüpheli hedef olduğu belirtiliyor
Aşağıda tam zaman çizelgesinden bahsettik: –
- İlk Sürüm: 21 Kasım 2024
- Güncelleme: 27 Kasım 2024 – CVE açıklaması güncellendi
- Güncel Tarih: 29 Kasım 2024
Ağınızı korumak ve olası saldırıları önlemek için Zyxel aşağıdaki proaktif önlemleri şiddetle tavsiye eder: –
- Donanım Yazılımını Güncelle: Cihazınızı hemen en son aygıt yazılımı sürümüne güncelleyin.
- Uzaktan Erişimi Devre Dışı Bırak: Güncellemeler hemen uygulanamıyorsa, cihaz yazılımı yamalanana kadar cihazınıza uzaktan erişimi geçici olarak devre dışı bırakın.
- En İyi Uygulamaları İnceleyin: Genel siber güvenlik yönergelerini öğrenin.
- Yönetici Şifrelerini Değiştir: Kullanıcılardan ek bir güvenlik önlemi olarak yönetici şifrelerini değiştirmeleri istenir.
Yamaların mevcut olmasına rağmen, bazı kurumlar ürün yazılımlarını güncelledikten sonra bile Helldown bulaşmalarını bildirdi. Bu, saldırganların erişimi sürdürmek için potansiyel olarak önceden oluşturulmuş hesapları kullanabileceğinden, güncellemenin tek başına güvenliği ihlal etmek için yeterli olmayabileceğini göstermektedir.
Güvenlik uzmanları, Zyxel güvenlik duvarlarını kullanan kuruluşlara, ağlarını potansiyel tehlikelerden ve siber saldırılardan korumak için derhal harekete geçmeleri yönünde ısrarla çağrıda bulundu.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın