D-Link yönlendiricilerindeki eski güvenlik açıklarından yararlanan siber saldırılarda, FICORA ve CAPSAICIN adlı iki botnet’in bu zayıflıklardan aktif olarak yararlandığı tespit edildi.
Fortinet’in FortiGuard Laboratuarlarındaki araştırmacılar, Ekim ve Kasım 2024’te bu botnet aktivitelerinde bir artış gözlemlediler; bu durum, güncelliğini kaybetmiş ve yama yapılmamış ağ cihazlarının oluşturduğu kalıcı tehdidin altını çizdi.
On Yıllık Güvenlik Açıklarından Yararlanma
Bot ağları, D-Link yönlendiricilerinin Ev Ağı Yönetim Protokolü (HNAP) arayüzündeki kusurlardan yararlanarak uzaktaki saldırganların kötü amaçlı komutlar yürütmesine olanak tanıyor.
CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 ve CVE-2024-33112 gibi CVE tanımlayıcıları altında takip edilen bu güvenlik açıkları yıllar önce ifşa edildi ancak yamasız güvenlik açıklarının yaygın kullanımı nedeniyle önemli bir risk olmaya devam ediyor. cihazlar.
Bu kusurların çoğu için yamalar mevcut olmasına rağmen, eski donanımlara olan güvenin devam etmesi, siber suçluların kötü amaçlı yazılımları geniş ölçekte dağıtma fırsatı yarattı.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Kötü şöhretli Mirai kötü amaçlı yazılımının bir çeşidi olan FICORA botnet, cihazları tehlikeye atmak için kaba kuvvet teknikleri kullanıyor ve yapılandırmasını ve komuta ve kontrol (C2) ayrıntılarını gizlemek için gelişmiş şifreleme (ChaCha20) kullanıyor. UDP ve TCP de dahil olmak üzere birden fazla protokolü kullanarak dağıtılmış hizmet reddi (DDoS) saldırıları başlatabilir.
Bu arada Kaiten tabanlı CAPSAICIN botnet, hızlı dağıtıma öncelik veriyor ve kontrolü sürdürmek için virüslü cihazlardaki rakip kötü amaçlı yazılımları ortadan kaldırıyor.
FortiGuard Labs, FICORA botnet’inin Hollanda’da bulunan sunuculardan yayıldığını tespit etti (örn. IP’ler 185)[.]191[.]126[.]213 ve 185[.]191[.]126[.]248). Saldırılar doğası gereği küreseldi; bu da saldırıların hedefli olmadığını, savunmasız herhangi bir cihazı istismar etmeyi amaçlayan fırsatçı kampanyalar olduğunu gösteriyor.
Her iki botnet de güncelliğini yitirmiş ağ donanımının oluşturduğu tehlikelerin altını çiziyor. Güvenlik açıkları yıllardır bilinmesine rağmen birçok kuruluş yama uygulama veya kullanım ömrü dolmuş cihazları değiştirme konusunda başarısız oldu. Bu ihmal, saldırganların bu zayıflıklardan defalarca yararlanmasına olanak tanıdı.
Uzmanlar, işletmelere ve bireylere bu riskleri azaltmak için proaktif önlemler almalarını şiddetle tavsiye ediyor:
- Düzenli Güncellemeler: Tüm yönlendiricilerin ve ağ cihazlarının en son ürün yazılımı sürümlerini çalıştırdığından emin olun.
- Cihaz Değişimi: Artık güvenlik güncellemelerini almayan kullanım ömrü sonu (EOL) donanımını değiştirin.
- Ağ İzleme: Botnet etkinliğini gösteren olağandışı trafik modellerini tespit etmek için kapsamlı izleme çözümleri uygulayın.
- Erişim Kısıtlamaları: Kesinlikle gerekmedikçe uzaktan yönetim özelliklerini devre dışı bırakın ve cihaz erişimi için güçlü, benzersiz şifreler kullanın.
Kuruluşların, botnet kaynaklı siber suç kampanyalarına farkında olmadan katılımcı olmayı önlemek için, savunmasız cihazların güncellenmesine veya değiştirilmesine öncelik vermesi gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin