Tehdit aktörleri, Dağıtılmış Hizmet Reddetme (DDOS) saldırıları yapmak için bunları Mirai Botnet’e dönüştürmek için Geovision Yaşam Sonu (EOL) Nesnelerin İnterneti (IoT) cihazlarındaki güvenlik kusurlarını aktif olarak kullanıyor.
İlk olarak Akamai Güvenlik İstihbaratı ve Müdahale Ekibi (SIRT) tarafından Nisan 2025’in başlarında gözlemlenen etkinlik, haksız sistem komutlarını yürütmek için kullanılabilecek iki işletim sistemi komut enjeksiyon kusurunun (CVE-2024-6047 ve CVE-2024-11120, CVSS skorlarının: 9.8) kullanılmasını içerir.
Akamai araştırmacısı Kyle Lefton, hacker News ile paylaşılan bir raporda, “İstismar, Geovision IoT cihazlarında /datesetting.cgi uç noktasını hedefliyor ve SZSRVIPADDR parametresine komutlar enjekte ediyor.” Dedi.
Web Güvenliği ve Altyapı Şirketi tarafından tespit edilen saldırılarda, BOTNET, LZRD adlı Mirai kötü amaçlı yazılımın bir ARM sürümünü indirmek ve yürütmek için komutlar enjekte etti.
BotNet tarafından kullanılan güvenlik açıklarından bazıları, bir Hadoop iplik güvenlik açığı, CVE-2018-10561 ve Aralık 2024’te vurgulanan Digiever’i etkileyen bir hata içerir.
Kampanyanın enfekte olmuşlar adı altında daha önce kaydedilmiş etkinliklerle örtüştüğünü gösteren bazı kanıtlar var.
Lefton, “Siber suçluların bir botnet kurmaya başlamasının en etkili yollarından biri, eski cihazlarda kötü güvenli ve modası geçmiş ürün yazılımını hedeflemektir.” Dedi.
“Emekli cihazlar için yamalar yayınlamayan birçok donanım üreticisi var (bazı durumlarda üreticinin kendisi geçersiz olabilir).”
Etkilenen coğrafya cihazlarının yeni yamalar alması olası olmadığı göz önüne alındığında, kullanıcıların potansiyel tehditlere karşı korunmak için daha yeni bir modele yükseltmeleri önerilir.
Mirai saldırılarında Samsung Magicinfo kusur
Açıklama, Arktik Kurt ve SANS Teknoloji Enstitüsü, Samsung Magicinfo 9 sunucusunda, bir saldırganın Mirai botnet’i teslim etmek için sistem otoritesi olarak yazmasını sağlayabilen CVE-2024-7399’un (CVSS puanı: 8.8) aktif olarak sömürülmesi konusunda uyardı.
Sorun Samsung tarafından Ağustos 2024’te ele alınırken, 30 Nisan 2025’te bir kavram kanıtı (POC) serbest bırakılmasının ardından botnet indirmekten sorumlu bir kabuk betiği almak ve yürütmek için saldırganlar tarafından silahlandırıldı.
Arctic Wolf, “Güvenlik açığı, kimlik doğrulanmamış kullanıcılar tarafından keyfi dosya yazmasına izin verir ve güvenlik açığı özel olarak hazırlanmış Javaserver sayfaları (JSP) dosyaları yazmak için kullanıldığında uzaktan kod yürütülmesine yol açabilir.” Dedi.
Kullanıcıların örneklerini 21.1050 sürümüne ve daha sonra olası operasyonel etkiyi azaltmak için güncellemeleri önerilir.