EDIMAX IC-7100 ağ kamerasını etkileyen, tehdit aktörleri tarafından en azından Mayıs 2024’ten beri Mirat Botnet kötü amaçlı yazılım varyantlarını sunmak için kullanılmayan bir güvenlik kusuru kullanılmaktadır.
Söz konusu güvenlik açığı, bir saldırganın özel olarak hazırlanmış bir istekle duyarlı cihazlarda uzaktan kod yürütülmesini sağlamak için kullanabileceği kritik bir işletim sistemi komut enjeksiyon kusuru olan CVE-2025-1316 (CVSS V4 skoru: 9.3).
Web Altyapısı ve Güvenlik Şirketi Akamai, Haziran 2023’ten bu yana bir Kavram Kanıtı (POC) istismarının kamuya açık olmasına rağmen, kusur tarihlerini Mayıs 2024’e kadar hedefleyen en eski istismar girişiminin.
Akamai araştırmacıları Kyle Lefton ve Larry Cashdollar, “İstismar /camera-cgi/admin/param.cgi son noktasını hedefliyor ve param.cgi’nin ipcamSource seçeneğinin bir parçası olarak ntp_serverName adresine komutları enjekte ediyor.”
Uç noktayı silahlandırma kimlik doğrulaması gerektirirken, sömürü girişimlerinin yetkisiz erişim elde etmek için varsayılan kimlik bilgilerini (Yönetici: 1234) kullandığı bulunmuştur.
En az iki farklı Mirai Botnet varyantının güvenlik açığından yararlandığı tespit edilmiştir, bunlardan biri, farklı mimariler için kötü amaçlı yazılımları geri alan bir kabuk komut dosyası çalıştırmadan önce anti-anti-anti işlevselliği içermektedir.
Bu kampanyaların nihai amacı, enfekte olmuş cihazları TCP ve UDP protokolleri üzerindeki ilgi hedeflerine karşı dağıtılmış hizmet reddi (DDOS) saldırılarını düzenleyebilen bir ağa dönüştürmektir.
Ayrıca, botnetlerin Totolink IoT cihazlarını ve CVE-2021-36220 ve bir Hadoop iplik güvenlik açığı etkileyen CVE-2024-7214’ten yararlandığı gözlemlenmiştir.
Geçen hafta yayınlanan bağımsız bir danışmanlıkta Ediimax, CVE-2025-1316’nın artık aktif olarak desteklenmeyen eski cihazları etkilediğini ve modelin 10 yıl önce durdurulduğu için bir güvenlik yaması sağlama planının olmadığını söyledi.
Resmi bir yamanın olmaması göz önüne alındığında, kullanıcılara daha yeni bir modele yükseltmeleri veya cihazı doğrudan internet üzerinden açığa çıkarmaları, varsayılan yönetici şifresini değiştirmek ve alışılmadık etkinlik belirtileri için erişim günlüklerini izlemeleri önerilir.
Akamai, “Siber suçluların bir botnet kurmaya başlamasının en etkili yollarından biri, eski cihazlarda kötü güvenli ve modası geçmiş ürün yazılımını hedeflemektir.” Dedi.
“Mirai’nin mirası, Mirai kötü amaçlı yazılım merkezli botnetlerin çoğaltılması hiçbir durma belirtisi göstermediğinden dünya çapında organizasyonları rahatsız etmeye devam ediyor. Botnet’i döndüren her türlü serbestçe mevcut öğretici ve kaynak kodu (ve şimdi, AI yardımı ile) daha da kolaylaştı.”