Juniper Networks, müşterilerini, varsayılan kimlik bilgilerini kullanarak Session Smart yönlendiricilerini hedef alan ve bu yönlendiricilere bulaşan Mirai kötü amaçlı yazılım saldırılarına karşı uyardı.
Ağ altyapısı şirketinin açıkladığı gibi, kötü amaçlı yazılım, varsayılan oturum açma kimlik bilgilerine sahip cihazları tarar ve erişim sağladıktan sonra komutları uzaktan yürüterek çok çeşitli kötü amaçlı faaliyetlere olanak tanır.
Kampanya ilk olarak 11 Aralık’ta, müşterilerin ağlarında ilk virüslü yönlendiricilerin bulunmasıyla gözlemlendi. Daha sonra Mirai tabanlı bu botnet’in operatörleri, ele geçirilen cihazları dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için kullandı.
Bu Salı günü yayınlanan bir güvenlik tavsiyesi, “11 Aralık 2024 Çarşamba günü, birkaç müşteri, Oturum Akıllı Ağ (SSN) platformlarında şüpheli davranışlar bildirdi” diyor.
“Önerilen en iyi uygulamaları takip etmeyen ve hala varsayılan şifreleri kullanan herhangi bir müşterinin, varsayılan SSR şifreleri virüs veritabanına eklendiğinden güvenliğinin ihlal edildiği düşünülebilir.”
Juniper ayrıca potansiyel Mirai kötü amaçlı yazılım etkinliğini tespit etmek için yöneticilerin ağlarında ve cihazlarında araması gereken güvenlik ihlali göstergelerini de paylaştı:
- ortak Katman 4 bağlantı noktalarındaki aygıtları tarar (örneğin, 23, 2323, 80, 8080),
- Kaba kuvvet saldırılarının göstergesi olan SSH hizmetlerinde başarısız giriş denemeleri,
- Giden trafik hacmindeki ani artış, cihazların DDoS saldırılarında tercih edildiğine işaret ediyor,
- Cihazların yeniden başlatılması veya hatalı davranması, güvenliğinin ihlal edildiğini düşündürüyor,
- Bilinen kötü amaçlı IP adreslerinden gelen SSH bağlantıları.
Şirket, müşterilere, tüm Session Smart yönlendiricilerindeki varsayılan kimlik bilgilerinin değiştirilmesi ve tüm cihazlarda benzersiz ve güçlü parolalar kullanılması da dahil olmak üzere, cihazlarının önerilen kullanıcı adı ve parola politikalarına uymasını derhal sağlamalarını tavsiye etti.
Yöneticilerin ayrıca donanım yazılımını güncel tutmaları, anormallikler için erişim günlüklerini gözden geçirmeleri, şüpheli etkinlik tespit edildiğinde otomatik olarak tetiklenecek uyarıları ayarlamaları, ağ etkinliğini izlemek için izinsiz giriş tespit sistemleri kurmaları ve İnternet’e açık cihazlara yetkisiz erişimi engellemek için güvenlik duvarları kullanmaları önerilir.
Juniper ayrıca, bu saldırılardan etkilenen yönlendiricilerin tekrar çevrimiçi hale getirilmeden önce yeniden görüntülenmesi gerektiği konusunda da uyardı.
Juniper, “Bir sisteme virüs bulaştığı tespit edilirse, tehdidi durdurmanın tek kesin yolu sistemi yeniden görüntülemektir, çünkü cihazda neyin değiştirildiği veya cihazdan neyin elde edildiği tam olarak belirlenemez.” dedi.
Geçen yıl Ağustos ayında, ShadowServer tehdit izleme hizmeti, watchTowr Labs kavram kanıtını (PoC) kullanarak Juniper EX anahtarlarını ve SRX güvenlik duvarlarını etkileyen, kritik bir uzaktan kod yürütme istismar zincirini hedef alan devam eden saldırılar konusunda uyardı.
O zamandan bu yana Juniper, Ocak ayında güvenlik duvarlarında ve anahtarlarında kritik bir RCE hatası konusunda uyarıda bulundu ve Oturum Akıllı Yönlendiricisi (SSR), Oturum Akıllı İletkeni ve WAN’ında maksimum önem derecesine sahip bir kimlik doğrulama atlama kusuru için döngü dışı bir yama yayınladı. Güvence Yönlendirici ürünleri.