CVE-2023-28771 olarak izlenen ciddi bir güvenlik açığı, Zyxel ağ cihazlarını etkilemektedir. Greynoise’deki güvenlik araştırmacıları ani bir keskin artış ve saldırganların 16 Haziran’da bu kusurdan yararlanmaları için yoğun bir çaba olduğunu fark ettilerth.
Güvenlik açığı, uzaktan kod yürütülmesine izin verir, bu da saldırganların savunmasız cihazlarda kendi programlarını uzaktan çalıştırabileceği anlamına gelir. Bu özel zayıflık, Zyxel cihazlarının UDP bağlantı noktası 500’den gelen İnternet Anahtarı Exchange (IKE) paketleri olarak adlandırılan belirli İnternet mesajlarını nasıl ele aldıklarında bulunur.
Ani dalgalanma ve erişimi
Bu zyxel kusurunu hedefleyen saldırılar minimal olsa da, 16 Haziran aktivitede önemli bir artış getirdi. Greynoise, sorunu tek bir gün içinde kullanmaya çalışan 244 farklı internet adresi kaydetti.
Bu saldırılar çeşitli ülkelerdeki cihazlara yöneliktir, aşağıdakiler en çok hedeflenen:
- Hindistan
- İspanya
- Almanya
- Amerika Birleşik Devletleri
- Birleşik Krallık
İlginç bir şekilde, bu 244 saldırı adresinin gözden geçirilmesi, bu ani patlamaya kadar iki hafta içinde başka bir şüpheli ağ etkinliğine dahil olmadıklarını gösterdi.
Kaynağı İzleme
Saldıran İnternet adreslerine ilişkin bir soruşturma, hepsinin Verizon iş altyapısı altında kayıtlı olduklarını ve Amerika Birleşik Devletleri’nden kaynaklandığını ortaya koydu. Bununla birlikte, saldırılar sahte bir şey (gönderenin adresini taklit etmek) sağlayan UDP bağlantı noktası 500 kullandığından, gerçek kaynak gizli olabilir, hackread.com ile paylaşılan blog yayınlarında Gellnoise araştırmacılarına dikkat çekebilir.
Greynoise tarafından yapılan daha fazla analiz, Virustotal’ın kontrolleriyle desteklenerek, bu saldırıların cihazları devralan bir tür kötü amaçlı yazılım olan Mirai Botnet’in varyantlarıyla bağlantılı olabileceğine dair işaretler buldu.
Bu aktif tehditlere yanıt olarak, güvenlik uzmanları derhal harekete geçiyor. Belirlenen 244 kötü amaçlı IP adresinin tümünü engellemeniz ve İnternet’e bağlı herhangi bir Zyxel cihazının CVE-2023-28771 için gerekli güvenlik yamalarına sahip olup olmadığını kontrol etmeniz önerilir.
Cihaz sahipleri, bir istismar girişiminden sonra herhangi bir olağandışı etkinliği izlemelidir, çünkü bu daha fazla uzlaşmaya veya cihazın bir botnet’e eklenmesine yol açabilir. Son olarak, ağ filtreleri uygulayarak IKE/UDP bağlantı noktası 500’ün gereksiz maruziyetini sınırlandırmanız önerilir.
Zyxel cihazlarının geçmişte güvenlik zorluklarıyla karşılaştığını belirtmek önemlidir. Örneğin, Hackread.com Haziran 2024’te, Mirai benzeri bir botnet tarafından hedeflenen Zyxel NAS cihazlarının, son zamanlarda farklı bir güvenlik açığından (CVE-2024-29973) hedef alındığını ve şirketin ürünleri için tekrar eden sorunların bir modelini vurguladığını bildirdi.
Siberlik şirketi Outpost24’teki CISO, “Bu, 31 Mayıs 2023’teki CISA Bilinen Sökülen Güvenlik Açıkları Listesine eklendi, ajansların aynı yıl 21 Haziran’dan önce çözülmesini gerektiriyor. Gözlenen faaliyet Mirai Botnet faaliyeti gibi görünüyor” dedi.
Martin, “Güvenlik açığı daha önce yoğun bir şekilde hedeflendiğinden, birisinin şimdi kurban olması için, savunmasız bir cihaz elde etmek, güncellemeden dağıtmak ve bilinen bir durumda olmasına rağmen internete maruz bırakmak zorunda kalacaklardı” diye açıkladı.
“Neredeyse bu noktada mağdur edilmesi gereken yetersizlik zincirinin sınırda etkileyici olduğunu söyleyebiliriz, ancak elbette olabilir. Bununla birlikte, bu, hepimiz uyanmak ve endişelenmemiz gereken güvenlik açığı değildir. Aslında, endişeleniyorsanız, yıllar önce düzelteceksiniz.”