Akamai Güvenlik İstihbaratı ve Müdahale Ekibi (SIRT), Doorness Geovision Nesnelerin İnterneti (IoT) cihazlarında komut enjeksiyon güvenlik açıklarının aktif olarak kullanılmasını tespit etmiştir.
CVE-2024-6047 ve CVE-2024-11120 olarak izlenen güvenlik açıkları, başlangıçta Haziran ve Kasım 2024’te açıklanmıştır, ancak şimdiye kadar kamuoyuna sınırlıdır.
Akamai Sirt ilk olarak bu kusurları Nisan 2025’in başlarında küresel balpot ağı aracılığıyla hedefleyen şüpheli aktiviteyi tespit etti ve açıklamalarından bu yana bu güvenlik açıklarının ilk belgelendirilmesini işaretledi.
.png
)
%20function.webp)
Bu saldırıların birincil hedefi /DateSetting.cgi Yasalaşmamış uzak saldırganların, keyfi sistem komutlarını enjekte edebileceği son nokta, szSrvIpAddr Belirli emekli coğrafi çıkış modellerinde yetersiz giriş filtrelemesi nedeniyle parametre.
Bu kritik kusur, saldırganların savunmasız sistemlerde kötü amaçlı yükler yürütmelerini sağlar ve bu modern cihazları hala kullanan kuruluşlar için önemli bir risk oluşturur.
Mirai Varyant LZRD ve BOTNET taktikleri maruz kaldı
LZRD adlı Mirai tabanlı bir varyant olarak tanımlanan istismar BOTNET, “Boatnet” adlı ARM tabanlı kötü amaçlı yazılım dosyasını indirmek ve yürütmek için bu güvenlik açıklarından yararlanır.
Akamai’nin analizi, BOTNET’in bu kötü amaçlı yazılımları kötü amaçlı bir IP’den (176.65.144.253) getirme ve GeoVision uç noktasını hedefleyen yüklerde görüldüğü gibi uzlaşmış cihazlarda yürütme komutlarını enjekte ettiğini ortaya koydu.
LZRD varyantı, yürütme üzerine basılan benzersiz konsol dizeleri ve diğer Mirai suşlarıyla tutarlı bir dizi saldırı işlevi ile daha da ayırt edilir, bu attack_tcp_syn Ve attack_udp_custom.
Ek olarak, Akamai, 2023’te bildirilen enfekte olmuşlar Botnet’i anımsatan C2 sunucu bağlantı noktalarındaki bir afiş mesajının yanı sıra, kötü amaçlı yazılımdaki sabit kodlu komut ve kontrol (C2) IP adreslerini ortaya çıkardı.
Geovision cihazlarının ötesinde, bu botnet ayrıca Hadoop ipliği, ZTE ZXV10 H108L yönlendiricileri ve Digiever sistemlerindeki diğer güvenlik açıklarından da yararlanır ve geniş saldırı yüzeyini vurgular.
Mirai merkezli tehditlerin sürekliliği, geniş botnetler oluşturan siber suçlular için ana hedef olmaya devam eden eşsiz, emekli IoT donanımı tehlikesinin altını çiziyor.
Akamai, Geovision’un bu etkilenen modellerin durdurulduğunu ve güncelleme almayacağını doğruladığından, kuruluşların bu tür cihazların işten çıkarılması ve riskleri azaltmak için desteklenen donanıma yükseltmesi isteniyor.
Akamai SIRT, bu gelişen tehdit manzarasını izlemeye devam ediyor ve savunuculara ilgili kötü amaçlı etkinliklerin tanımlanmasına ve engellenmesine yardımcı olmak için kapsamlı bir uzlaşma göstergeleri (IOC’ler) listesi verdi.
Uzlaşma Göstergeleri (IOCS)
| Tip | Detaylar |
|---|---|
| IPv4 adresleri | 209.141.44.28, 51.38.137.114, 176.65.144.253, 176.65.144.232, 198.23.212.246 |
| C2 Alanı | connect.antiwifi.dev |
| SHA256 Hashes (örnek) | f05247a2322e212513ee08b2e8513f4c764bde7b30831736dfc927097baf6714, 11c0447f524d0fcb3be2cd0fbd23eb2cc2045f374b70c9c029708a9f2f4a4114 (ve daha fazlası) |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir