Tehdit aktörleri, 92.000 kadar internete açık D-Link ağa bağlı depolama (NAS) cihazını etkilediği söylenen bir çift güvenlik açığını aktif olarak tarıyor ve kullanıyor.
Şu şekilde izlendi: CVE-2024-3272 (CVSS puanı: 9,8) ve CVE-2024-3273 (CVSS puanı: 7,3), güvenlik açıkları kullanım ömrü sonu (EoL) durumuna ulaşmış eski D-Link ürünlerini etkiliyor. D-Link, bir tavsiye niteliğinde, bir yama göndermeyi planlamadığını ve bunun yerine müşterilerini bunları değiştirmeye çağırdığını söyledi.
Netsecfish adını kullanan güvenlik araştırmacısı, “Güvenlik açığı nas_sharing.cgi uri’de yer alıyor ve iki ana sorundan dolayı saldırıya açık: sabit kodlanmış kimlik bilgileri tarafından kolaylaştırılan bir arka kapı ve sistem parametresi yoluyla bir komut ekleme güvenlik açığı” dedi. Mart 2024 sonu.
Kusurların başarılı bir şekilde kullanılması, etkilenen D-Link NAS cihazlarında keyfi komutların yürütülmesine yol açarak tehdit aktörlerine hassas bilgilere erişme, sistem yapılandırmalarını değiştirme ve hatta bir hizmet reddi (DoS) koşulunu tetikleme olanağı verebilir.
Sorunlar aşağıdaki modelleri etkilemektedir:
- DNS-320L
- DNS-325
- DNS-327L ve
- DNS-340L
Tehdit istihbarat firması GreyNoise, saldırganların Mirai botnet kötü amaçlı yazılımını yaymak için kusurları silah haline getirmeye çalıştığını ve böylece D-Link cihazlarına uzaktan kumanda edilmesini mümkün kıldığını gözlemlediğini söyledi.
Bir düzeltmenin olmaması durumunda Shadowserver Vakfı tavsiye etmek kullanıcıların ya bu cihazları çevrimdışına almaları ya da potansiyel tehditleri azaltmak için güvenlik duvarı ile korunan cihaza uzaktan erişime sahip olmaları.
Bulgular, Mirai botnet’lerinin sürekli olarak yeni güvenlik açıklarını adapte ettiğini ve repertuarlarına dahil ettiğini, tehdit aktörlerinin mümkün olduğunca çok sayıda cihazı ihlal etmek amacıyla bu sorunları kötüye kullanmak üzere tasarlanan yeni varyantları hızla geliştirdiğini bir kez daha gösteriyor.
Ağ cihazlarının mali motivasyonlu ve ulus devlet bağlantılı saldırganlar için ortak hedefler haline gelmesiyle birlikte bu gelişme, Palo Alto Networks Unit 42’nin, tehdit aktörlerinin hedef ağlardaki güvenlik açıklarını işaretlemek için giderek daha fazla kötü amaçlı yazılım tarafından başlatılan tarama saldırılarına yöneldiğini ortaya koymasıyla ortaya çıktı.
Şirket, “Bazı tarama saldırıları, muhtemelen virüslü makinelerdeki kötü amaçlı yazılımların yönlendirdiği iyi huylu ağlardan kaynaklanıyor” dedi.
“Saldırganlar, güvenliği ihlal edilmiş ana bilgisayarlardan tarama saldırıları başlatarak aşağıdakileri başarabilir: İzlerini gizlemek, coğrafi sınırlamayı atlamak, botnet’leri genişletmek, [and] Yalnızca kendi cihazlarını kullanarak elde edebileceklerine kıyasla daha yüksek hacimde tarama istekleri oluşturmak için güvenliği ihlal edilmiş bu cihazların kaynaklarından yararlanılıyor.”