Zyxel NAS cihazları saldırı altında! Mirai benzeri botnet, yakın zamanda ortaya çıkan bir güvenlik açığından (CVE-2024-29973) yararlanıyor. Devralmayı Önlemek İçin Hemen Yama Yapın! NAS’ınızı potansiyel ele geçirme ve DDoS saldırılarına karşı nasıl koruyacağınızı öğrenin.
Avrupa çapında “üretilmeyen” iki Zyxel Ağa Bağlı Depolama (NAS) cihazını hedef alan, kötü şöhretli Mirai botnet’ine ürkütücü derecede benzeyen yeni bir botnet keşfedildi.
Outpost24 Güvenlik Açığı Araştırma Departmanı, Mart 2024’te Tayvanlı ağ cihazı üreticisi Zyxel’in NAS çalıştıran uç noktalarında üç kritik güvenlik açığı bildirdi.
Censys araştırmacıları, Mirai benzeri bir botnet’in bu savunmasız uç noktaları hedef aldığını ve operatörlerin kötü amaçlı kod çalıştırmak, hassas verileri çalmak ve kötü amaçlı yazılım yüklemek için kök ayrıcalıkları elde etmelerine olanak tanıdığını bildiriyor.
Bu ‘kritik’ güvenlik açıkları, CVE-2024-29973 (Python Kod Enjeksiyonu Güvenlik Açığı), CVE-2024-29972 (NsaRescueAngel Arka Kapı Hesabı) ve CVE-2024-29974 (Kalıcı Uzaktan Kod Yürütme Güvenlik Açığı) olarak takip ediliyor ve hepsinin CVSS puanı 9,8.
Bunlar özellikle eski Zyxel NAS modelleri NAS326’yı (V5.21(AAZF.16)C0’dan önceki sürümler) ve NAS542’yi (V5.21(ABAG.13)C0’dan önceki sürümler) etkiler. Bu modeller kullanım ömrünün sonuna ulaştı ancak Tayvanlı şirket, bazı kuruluşlar için uzatılmış garanti nedeniyle bunları onarmaya karar verdi.
Güvenlik tehditleri izleme kuruluşu Shadowserver Foundation, tehdit aktörlerinin uç noktaları bir botnet’te birleştirmek için CVE-2024-29973’ü taradığını bildiriyor. IBM X-Force, Zyxel’in CVE-2023-27992’yi düzeltmesinin ardından geçen yıl bu uzaktan kod enjeksiyonu açığını keşfetti.
CVE-2024-29972 ve CVE-2024-29973, kimlik doğrulaması olmadan hazırlanmış HTTP POST istekleri yoluyla yararlanılan komut ekleme hatalarıdır; CVE-2024-29974 ise saldırganların hazırlanmış yapılandırma dosyaları aracılığıyla rastgele kod yürütmesine olanak tanır. Burada bir kavram kanıtı mevcuttur.
Bu cihazlar bir kez ele geçirildiğinde bir botnet’in parçası haline gelir ve potansiyel olarak kritik altyapılara veya işletmelere yönelik DDoS saldırıları başlatmak için kullanılır. İtalya’da 197 ana bilgisayar, Rusya’da 166, Macaristan’da 149 ve Almanya’da 144 ana bilgisayar dahil olmak üzere toplam 1.194 Zyxel cihazının açığa çıktığı Avrupa özellikle savunmasız durumda.
Outpost24 güvenlik araştırmacısı Timothy Hjort, CVE-2023-27992 yamalama işlemi sırasında bir güvenlik açığının oluştuğunu ve mevcut yamanın uygulanması için yeni bir uç noktanın eklendiğini ve “önceki sürümlerle aynı hataların” uygulandığını açıkladı.
Bilginiz olsun diye söylüyorum: Mirai botnet, kötü amaçlı yazılım bulaşmış, ele geçirilmiş cihazlardan oluşan ve saldırganlar tarafından uzaktan kontrol edilmelerine olanak tanıyan geniş bir ağdır.
Siber suçlular, kuruluşlar için önemleri ve sık sık yapılan yanlış yapılandırmalar nedeniyle sıklıkla Zyxel, D-Link ve QNAP’ın NAS cihazlarını hedef alıyor. Nisan ayında, netsecfish tarafından açıklanan, binlerce D-Link NAS cihazını etkileyen, kötü amaçlı kod yürütülmesine, veri hırsızlığına ve DoS saldırılarına olanak tanıyan yüksek önemdeki bir güvenlik açığı tespit edildi.
Güvende kalmak için Zyxel NAS modelinizi ve sürümünüzü tanımlayın, cihazınız savunmasızsa en son güvenlik yamasını indirip yükleyin ve uzaktan erişimi devre dışı bırakmayı düşünün. Daha fazla bilgi için Zyxel’in web sitesine bakın.
İLGİLİ KONULAR
- Mirai botnet Azure OMIGOD güvenlik açıklarını istismar ediyor
- Dark.IoT ve Özel Botnet’ler DDoS Saldırılarında Zyxel Kusurundan Yararlanıyor
- Mirai Kötü Amaçlı Yazılımı, Komut Enjeksiyon Hatası Sonrasında Zyxel Cihazlarına Saldırıyor
- Mirai botnet, MooBot varyantıyla yeniden ortaya çıktı, D-Link cihazlarını vurdu
- Tiny Mantis Botnet, Mirai’den Daha Güçlü DDoS Saldırıları Başlatıyor