Siber güvenlik dünyası, dünyanın dört bir yanındaki Draytek yönlendiricilerini etkileyen yaygın yeniden başlatmaların raporlarıyla şaşkına döndü.
Bu yeniden başlatmaların kesin nedeni büyük ölçüde doğrulanmamış olsa da, Geynoise, Draytek cihazlarında bilinen birkaç güvenlik açıkının zayıf önemli şekilde sömürülmesini sağladı.
Bu etkinlik ve bildirilen yeniden başlatmalar arasında doğrudan bir bağlantı sağlam bir şekilde oluşturulamasa da, veriler ağ savunucularının uyanık kalması ve proaktif önlemler alması için önemli bir uyarı görevi görür.
Gözlemlenen güvenlik açığı istismarları
Grinnoise’in küresel gözlem ızgarası (GOG), Draytek yönlendiricilerini etkileyen çeşitli yaygın güvenlik açıklarını ve maruziyetlerini (CVES) hedefleyen aktivite tanımlamıştır:
- CVE-2020-8515: Bu, birden fazla Draytek yönlendirici modellerinde bulunan bir uzaktan kod yürütme güvenlik açığıdır. Son 24 saat içinde herhangi bir faaliyet olmasa da, son 30 gün içinde bu güvenlik açığından yararlanan 82 IP adresinin gözlendiği ve oturumların çoğunluğu Endonezya, Hong Kong ve Amerika Birleşik Devletleri’nden kaynaklanmıştır.
- CVE-2021-20123 & CVE-2021-20124: Her ikisi de Draytek’in Vigorconnect’indeki dizin geçiş güvenlik açıklarıdır. Geçtiğimiz ayda 23 ve 22 IP adresi ile son 24 saat içinde aktivite son 24 saat içinde gözlemlenmiştir. Bu oturumların hedeflediği en iyi ülkeler Litvanya, ABD ve Singapur’dur.
Uyanıklığın önemi
Bu istismarları son yönlendirici yeniden başlatma dalgasına bağlayan kesin kanıtların olmamasına rağmen, ağ altyapı cihazlarına karşı devam eden tehdit manzarasını vurgulamaktadır.
Bu güvenlik açıklarının sömürülmesi, ağ sistemlerine yetkisiz erişim potansiyeli de dahil olmak üzere önemli güvenlik riskleri oluşturmaktadır.
Ağ savunucuları için öneriler
- Ağ Etkinliği Monitör: Bu CVES ile ilgili şüpheli aktiviteyi izlemek için Greynoise GOG gibi araçları kullanın.
- Kötü niyetli IP’leri engelleyin: Kötü niyetli olarak tanımlanan IP adreslerini engellemek için güvenlik duvarı kurallarını uygulayın.
- Ürün yazılımını güncelle: Güncellemeler genellikle bilinen güvenlik açıkları için yamalar içerdiğinden, tüm Draytek yönlendiricilerinin en son ürün yazılımını çalıştırdığından emin olun.
- Güvenli Şifreler: Yetkisiz giriş girişimlerini önlemek için yönlendirici erişimi için güçlü, benzersiz parolalar kullanın.
Bu güvenlik açıkları ve küresel yeniden başlatmalar arasındaki bağlantı spekülatif kalırken, bu CVES’lerin sürekli kullanımı uyanıklık ve proaktif güvenlik önlemlerine duyulan ihtiyacın altını çizmektedir.
Ağ cihazları giderek daha kritik bir altyapı haline geldikçe, ortaya çıkan tehditlerin önünde kalmak çok önemlidir.
Ağ yöneticileri, Greynoise gibi kuruluşlardan istihbarattan yararlanarak ve savunmasız cihazları güvence altına almak için hızlı bir şekilde harekete geçerek potansiyel istismarlara karşı koruyabilir ve ağlarının istikrarını sağlayabilir.
Hızlı gelişen siber güvenlik manzarasında, bilgilendirilmiş ve hazırlanmak, ortaya çıkan tehditleri azaltmanın anahtarıdır.
Yeniden başlatmalar ve olası nedenleri hakkında daha fazla veri mevcut hale geldikçe, sağlam güvenlik uygulamalarını sürdürmenin önemi sadece büyüyecektir.
Devam eden uyanıklık ve sağlam güvenlik protokollerinin uygulanmasıyla, bu güvenlik açıklarıyla ilişkili riskler etkili bir şekilde yönetilebilir.
Bu sadece bireysel ağları korumakla kalmaz, aynı zamanda daha güvenli bir küresel dijital ortama da katkıda bulunur.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.