Yeni bir siber saldırı dalgası ortaya çıktı, Mirai tabanlı bir Botnet, öncelikle dünya çapında endüstriyel ve ev ağlarını hedefleyen yönlendiriciler ve akıllı cihazlarda bir dizi önemli güvenlik açıklarından yararlandı.
Shadowserver Vakfı yakın zamanda X üzerinde BotNet’in CVE-2024-41473 (Tendda), CVE-2024-12987 (Draytek), CVE-2024-9916 (Huangdou UTCMS v9), dört kanatlı CVE- 2024-9644 ve Totolink cihazlarında çoklu güvenlik açıkları (CVE-2024-2353, CVE-2024-24328, CVE-2024-24329).
Sömürülen güvenlik açıklarına teknik genel bakış
Botnet, internete maruz kalan yönlendiricilere ve diğer IoT cihazlarına sızmak için hem sıfır gün hem de N-Day güvenlik açıklarından yararlanır. Temel güvenlik açıkları şunları içerir:
CVE-2024-41473-Tenda Komut Enjeksiyonu Güvenlik Açığı
CVE-2024-41473, Tenda FH1201 yönlendiricisinde, özellikle ürün yazılımı 1.2.0.14 sürümünü etkileyen yüksek aralıklı bir komut enjeksiyon güvenlik açığıdır.
Kusur, işletim sistemi komutlarındaki özel karakterleri düzgün bir şekilde nötralize edemeyen uç nokta/IP/GoForm/WriteFacmac’ın Mac parametresinde bulunur.
Bu, saldırganların yönlendirici üzerinde yetkisiz kontrol kazanarak keyfi komutlar enjekte etmelerini sağlar.
Güvenlik açığı, CVSS V3.1 skoru 8.0’dır, bu da gizlilik, dürüstlük ve kullanılabilirliği tehlikeye atma potansiyelinden dolayı yüksek şiddete işaret eder.
CVE-2024-12987-Draytek Komut Enjeksiyon Güvenlik Açığı
Bu güvenlik açığı Draytek Vigor2960 ve Vigor300B Yönlendiricileri Çalıştırma Ürün Yazılımı Sürüm 1.5.1.4’ü etkiler. Web yönetimi arayüzünün /cgi-bin/mainfunction.cgi/apmcfgupload uç noktasında bir komut enjeksiyon kusuru olarak sınıflandırılır.
Saldırganlar, rasgele işletim sistemi komutlarını kimlik doğrulaması yapmadan uzaktan yürütmek için oturum argümanını manipüle edebilir.
Güvenlik açığı, CVSS V3.x 7.3 (yüksek şiddet) puanına sahiptir ve kamu istismarları mevcuttur ve bu da onu saldırganlar için cazip bir hedef haline getirir.
CVE-2024-9916 Huangdou Komut Enjeksiyon Güvenlik Açığı
CVE-2024-9916, Huangdou UTCMS V9 yazılımında, özellikle Dosya App/Modules/UT-CAC/Admin/Cli.php’de kritik bir OS komutu enjeksiyon güvenlik açığıdır.
Bu güvenlik açığı 7.3 CVSS V3.X puanına sahiptir ve gizlilik üzerindeki ılımlı etkisine rağmen sistem bütünlüğü ve kullanılabilirliği için önemli riskler oluşturmaktadır.
Kusur, O parametresinin yanlış giriş validasyonundan kaynaklanır ve uzak saldırganların kimlik doğrulama veya kullanıcı etkileşimi olmadan keyfi komutlar yürütmesine izin verir.
CVE-2024-9644 Dört niyetli Kimlik Doğrulama Bypass Güvenlik Açığı
Bu güvenlik açığı, ürün yazılımı sürüm 2.0.0 çalıştıran dört inanç F3X36 yönlendiricilerini etkiler ve yönetici web sunucusunun Bapply.cgi uç noktasında bir kimlik doğrulama baypasını içerir.
Kimlik doğrulamasını uygulayan muadili Appl.cgi’nin aksine, Bapply.cgi, kritik yönlendirici ayarlarına yetkisiz erişime izin verir.
Saldırganlar, konfigürasyonları değiştirmek veya daha geniş sistem uzlaşması için diğer güvenlik açıklarıyla zincirlemek için bu kusuru kullanabilir.
CVE-2024-2353, CVE-2024-24328, CVE-2024-24329 (Totolink güvenlik açıkları)
Bu güvenlik açıkları totolink yönlendiricilerini etkiler ve HTTP istek işleme mekanizmalarında yığın tabanlı tampon taşmalarını içerir.
Sömürü, saldırganların hizmet reddi koşullarını tetiklemesine veya yüksek ayrıcalıklarla keyfi kod yürütmesine izin verir.
Bu kusurlar özellikle ilgilidir, çünkü Mirai gibi büyük ölçekli botnet operasyonları için kullanılabilirler.
Botnet yetenekleri ve hedefleri
Mirai Botnet ilk keşfinden bu yana önemli ölçüde gelişti. Şimdi aşağıdakiler gibi gelişmiş özellikler içeriyor:
- Kahraman telnet kimlik bilgileri: Erişim sağlamak için zayıf veya varsayılan şifreli cihazların kötü amaçlı yazılımı tarar.
- Özel istismarlar: Çeşitli cihaz türlerinde bilinen 20’den fazla güvenlik açığı için hem kamu hem de özel istismar kullanır.
- DDOS saldırıları: BOTNET, yüksek yoğunluklu dağıtılmış hizmet reddi yürütür.
(DDOS) 100 Gbps’yi aşan saldırılar, sağlam altyapılarda bile hizmetleri bozuyor.
Botnet’in birincil hedefi, kiralık DDOS hizmetleri aracılığıyla finansal kazançtır. Şu anda Çin, Rusya, ABD, Türkiye ve İran gibi ülkelerdeki varlıkları hedefleyen günde yaklaşık 15.000 aktif düğümle faaliyet göstermektedir.
Azaltma önlemleri
Bu saldırılara karşı korumak için, siber güvenlik uzmanları aşağıdaki adımları önerir:
- Tüm yönlendiricilerin ve IoT cihazlarının satıcıların en son ürün yazılımı ile güncellendiğinden emin olun.
- Kesinlikle gerekli olmadıkça uzaktan yönetim özelliklerini kapatın.
- Büyük/küçük harf, sayılar ve semboller karışımı ile güçlü şifreler kullanın.
- Korunmasız cihazlar için ağları düzenli olarak tarayın ve kritik sistemleri izole etmek için segmentasyon uygulayın
Mirai’nin yeniden canlanması, IoT botnets’in açılmamış güvenlik açıklarından yararlanan kalıcı tehdidin altını çiziyor.
Kuruluşlar, tehdit istihbarat paylaşımına öncelik vermeli ve Mirai gibi gelişen kötü amaçlı yazılım kampanyaları ile ilişkili riskleri azaltmak için sağlam güvenlik çerçevelerini benimsemelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free