Hem endüstriyel hem de tüketici birimlerinde yönlendirici güvenlik açığı, bilgisayar korsanları için tercih edilen bir saldırı noktası olmuştur.
Araştırmacılar, vahşi ortamda istismar edilen iki yönlendirici güvenlik açığı hakkında uyarılar yayınladılar. Araştırmacılar, ev ağı cihazı Tenda ve endüstriyel yönlendirici USR USR-G806’da güvenlik açıklarının kullanıldığını tespit etti.
Üreticiler daha önce her iki güvenlik açığı için yama uyarıları yayınladı. Her ikisi de önem derecelerinde kritik kabul edildi.
Tenda yönlendirici güvenlik açığı ve PUSR yönlendiricisindeki hata, hem evde hem de işte bağlantıyla ilgili yazılımlara yama yapılması gerektiğini vurguluyor.
Tenda yönlendirici güvenlik açığı hakkında ayrıntılar
Tenda AC23 16.03.07.45_cn’deki CVE-2023-2649, 8.8 taban puanıyla kritik bir güvenlik açığı ilan edildi.
Bir GitHub raporunda, “Güvenlik açığı /bin/ate konumunda, ona 7329 numaralı bağlantı noktası üzerinden mesaj gönderebiliriz. Kimliği doğrulanmış bir saldırgan bu bağlantı noktasını httpd aracılığıyla başlatabilir” dedi.
Güncellemeler kurulu bırakılırsa, bilgisayar korsanları Tenda yönlendirici güvenlik açığını uzaktan komut enjeksiyonu için kullanabilir.
Uzaktan kod enjeksiyonu, meşru yazılımın yürütme akışının değiştirilmesine izin verebilir. Bilgisayar korsanları, güvenlik ihlalleri de dahil olmak üzere hasara yol açan bir uygulama tarafından çalıştırılmak üzere kötü amaçlı kod gönderebilir.
Bilgisayar korsanları, bu Tenda yönlendirici güvenlik açığı da dahil olmak üzere kusurlardan yararlanarak cihazın tam kontrolünü ele geçirebilir. Tenda yönlendirici güvenlik açığına VDB-228778 tanımlayıcısı atandı.
Başka bir yönlendirici güvenlik açığıyla ilgili ayrıntılar
USR USR-G806 1.0.41’deki başka bir yönlendirici güvenlik açığı, sunucuları web yönetimi bileşeninin bilinmeyen bir işlevi yoluyla istismara açık hale getirdi. USR yönlendiricisindeki bu güvenlik açığından uzaktan da yararlanılabiliyordu.
CVE-2023-2645, 9.8’lik bir temel CVSS puanıyla ciddiyet açısından kritik olarak sınıflandırıldı. Bilgisayar korsanları, kullanıcı adı/şifre argümanının giriş köküyle değiştirilmesi yoluyla sabit kodlanmış parolalara erişim sağlayabilir.
Sabit kodlu parolalar, sistemlere yetkisiz erişim elde etmek için kullanılabilen düz metin biçimindeki parolalardır.
USR güvenlik açığıyla ilgili bir GitHub raporu, bazı sistemlerin kök varsayılan parolasına ve yönetici varsayılan parolasına sahip olduğunu belirtti.
GitHub raporunda “Web yönetimi varsayılan şifresi, eksik istatistikler ve app+”USR-G806″ fofa anahtar kelimesi arandıktan sonra 28.000 ilgili cihaz bulundu” dedi.
USR-G806 yönlendirici üretici yazılımı V1.0.41 cihaz güvenlik açığına, VDB-228774 tanımlayıcısı atandı.
Araştırmacılar, cihazın varsayılan olarak ssh hizmetine açık olduğunu tespit etti. Ayrıca, varsayılan şifrenin aşağıda gösterildiği gibi zayıf olduğu bulundu:
Telnet’e açık olan bu cihaz modelinin 8000’den fazla örneği bulundu.
Geçmişte yararlanılan yönlendirici güvenlik açığı
Bilgisayar korsanları, Avrupa Dışişleri kuruluşlarına siber saldırılar başlatmak için TP-Link yönlendiricileri için yapılmış bir ürün yazılımı implantından yararlandı. Camaro Dragon adlı siber suç grubu, internete bakan ağ cihazlarını kullanarak Avrupa kuruluşlarını hedef aldı.
Siber saldırı, kullanıcı adlarının, sistem adlarının, işletim sistemi sürüm verilerinin ve CPU mimarisinin açığa çıkmasına neden oldu. Araştırmacılar, değiştirilmiş iki TP-Link yönlendirici üretici yazılımı görüntüsü seti buldular. Donanım yazılımı, TP-Link yönlendirici modeli WR940N içindi.
Tenda yönlendirici güvenlik açığı ve RouterSpoilt
RouterSpoilt, bir yönlendiricinin güvenliğinin aşılması için kullanılan açık kaynaklı bir istismar aracıdır. Yönlendirici istismarı, yetkisiz erişim elde etmenin en kolay yollarından biri olduğundan, bu siber suçu otomatikleştirmek için araçlar tasarlanmıştır.
Wi-Fi, yönetici oturum açma sayfasını atlayarak ve yönetici ayrıcalıklarına erişerek bu istismar tekniğinde ihlal edilir. Bilgisayar korsanı sistemde casusluk yapabilir, kötü amaçlı yazılım enjekte edebilir ve hedef odaklı kimlik avı saldırıları başlatabilir.
Casusluk, IoT ve yönlendirici güvenlik açığından yararlanma ile ilgili önemli bir endişe kaynağıdır. RouterSploit, web kamerası verilerini yakalar ve diğer cihazlara erişir.
Trafik verilerini komuta ve kontrol sunucularından gizlemek için VPN bağlantıları kullanılarak oluşturulan güvenliğe aykırıdır.
Kredi kartı dolandırıcılığı gerçekleştirmek için karaborsada virüs bulaşmış yönlendiricilerden oluşan bir ağın satıldığı ve DDoS saldırılarının başlatıldığı durumlar olmuştur.