Fortinet, Gafgyt botnet kötü amaçlı yazılımının aktif olarak ömrünü tamamlamış Zyxel P660HN-T1A yönlendiricisindeki bir güvenlik açığından binlerce günlük saldırıda yararlanmaya çalıştığına dair bir uyarı yayınladı.
Kötü amaçlı yazılım, 2017’de Zyxel tarafından yama uygulanan, cihazın Uzak Sistem Günlüğü iletme işlevinde kritik düzeyde (CVSS v3: 9.8) kimliği doğrulanmamış komut enjeksiyon güvenlik açığı olan CVE-2017-18368’i hedefliyor.
Zyxel daha önce 2019’da o zamanlar yeni olan Gafgyt varyantından kaynaklanan tehdide dikkat çekmiş ve hala eski bir aygıt yazılımı sürümünü kullanan kullanıcıları, cihazlarını devralmaya karşı korumak için en son sürüme yükseltmeye çağırmıştı.
Ancak Fortinet, Temmuz 2023’ün başından bu yana günde ortalama 7.100 saldırı görmeye devam ediyor ve saldırı hacmi bugün de devam ediyor.
“[As of] 7 Ağustos 2023, FortiGuard Labs, 2017 güvenlik açığını hedef alan saldırı girişimlerini görmeye devam ediyor ve geçen ay içinde binlerce benzersiz IPS cihazının saldırı girişimlerini engelledi.”
Kaynak: Fortinet
Gözlemlenen saldırı girişimlerinin hangi kısmının başarılı enfeksiyonlarla sonuçlandığı açık değil. Ancak aktivite Temmuz ayından bu yana sabit bir hacimde kaldı.
CISA ayrıca bu hafta CVE-2017-18368’in vahşi ortamda aktif olarak kullanılması konusunda uyarıda bulunarak, açığı istismar edilen bilinen güvenlik açıkları kataloğuna ekledi.
Siber güvenlik kurumu artık federal kurumların Zyxel güvenlik açığını 28 Ağustos 2023’e kadar düzeltmesini şart koşuyor.
İstismar salgınına yanıt olarak Zyxel, güvenlik danışmanlığını güncelleyerek müşterilere CVE-2017-18363’ün yalnızca 7.3.15.0 v001/3.40(ULM.0)b31 veya daha eski ürün yazılımı sürümlerini çalıştıran cihazları etkilediğini hatırlattı.
Hatayı gidermek için 2017’de kullanıma sunulan en son üretici yazılımı sürümünü çalıştıran P660HN-T1A yönlendiriciler, sürüm 3.40(BYF.11), bu saldırılardan etkilenmez.
Ancak satıcı, cihazın ömrünün sonuna geldiğini ve artık desteklenmediğini vurguluyor, bu nedenle daha yeni bir modele geçmek akıllıca olacaktır.
“P660HN-T1A’nın birkaç yıl önce ömrünün sonuna geldiğini lütfen unutmayın; bu nedenle, şiddetle tavsiye ederim optimum koruma için kullanıcıların onu daha yeni nesil bir ürünle değiştirmesi gerektiği konusunda uyarıyor” diye uyarıyor Zyxel.
Yönlendiricilerdeki botnet bulaşmalarının yaygın belirtileri arasında dengesiz bağlantı, cihazın aşırı ısınması, ani yapılandırma değişiklikleri, yanıt vermeme, atipik ağ trafiği, yeni bağlantı noktalarının açılması ve beklenmeyen yeniden başlatmalar yer alır.
Botnet kötü amaçlı yazılımından kaynaklandığından şüpheleniyorsanız, fabrika ayarlarına sıfırlayın, cihazınızın sabit yazılımını en son sürüme güncelleyin ve varsayılan yönetici kullanıcı kimlik bilgilerini değiştirin.
Ayrıca, uzaktan yönetim panelini devre dışı bırakmanız ve cihazları yalnızca dahili ağınızdan yönetmeniz önerilir.