Juniper Networks, varsayılan parolalarla bırakılan Oturum Akıllı Yönlendiricileri (SSR’ler) hedef alan Mirai kötü amaçlı yazılım bulaşmalarına ilişkin raporların ardından acil bir öneri yayınladı.
İlk olarak 11 Aralık’ta tespit edilen kampanya, cihazların güvenliğini ihlal etmek ve bunları dağıtılmış hizmet reddi (DDoS) saldırılarında kullanmak için zayıf güvenlik uygulamalarından yararlandı.
Nesnelerin İnterneti (IoT) cihazlarından yararlanma yeteneğiyle bilinen Mirai kötü amaçlı yazılımı, varsayılan oturum açma kimlik bilgilerini kullanan sistemleri tarar.
Erişim sağlandıktan sonra komutları uzaktan yürüterek çok çeşitli kötü amaçlı faaliyetlere olanak tanır. Bu durumda, ele geçirilen SSR’ler, hedeflenen ağları gereksiz trafikle doldurmak, hizmetleri kesintiye uğratmak ve önemli operasyonel zorluklara neden olmak için silah haline getirildi.
Bu güvenlik açığı, Oturum Akıllı Yönlendiricilerin tüm sürümlerini etkilemektedir. Juniper’in tavsiyesine göre, etkilenen cihazların kritik bir ortak noktası var: Fabrikada ayarlanan kimlik bilgilerinin değiştirilememesi.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Varsayılan SSR şifreleri artık kötü amaçlı yazılımın veritabanına eklendi ve bu da onları hâlâ kullanan sistemlerin enfeksiyona karşı oldukça duyarlı olmasını sağlıyor.
Yöneticilerin, aşağıdakiler de dahil olmak üzere potansiyel Mirai etkinliği belirtileri açısından ağlarını izlemeleri tavsiye edilir:
- Olağandışı Bağlantı Noktası Taraması: Tek kaynak IP’den 23 (Telnet) ve 22 (SSH) gibi bağlantı noktalarında yüksek hacimli bağlantı denemeleri.
- Sık SSH Giriş Denemeleri: Kaba kuvvet saldırılarına işaret eden birden fazla başarısız oturum açma girişimi.
- Artan Giden Trafik: Ağdan ayrılan verilerde açıklanamayan ani artışlar.
- Düzensiz Cihaz Davranışı: Rastgele yeniden başlatmalar veya cihazların ağdan ayrılması.
- Kötü Amaçlı IP’lerden Bağlantılar: Bilinen botnet bağlantılı IP adresleri erişmeye çalışıyor.
Mirai, IoT cihazlarını uzaktan kontrol edilen virüslü cihazların oluşturduğu ağlar olan botnet’lere dönüştürme yeteneğiyle ünlüdür. İlk olarak 2016’da ortaya çıkan bu özellik, o zamandan beri çok sayıda farklı versiyona dönüştü.
Kötü amaçlı yazılımın birincil taktiği, cihazlara sızmak için zayıf kimlik bilgilerinden ve yazılım açıklarından yararlanmayı içerir. Bu sistemler, virüs bulaştığında DDoS saldırıları veya diğer kötü amaçlı faaliyetler için araçlar haline gelir.
Juniper Networks, daha fazla bulaşmayı önlemek için derhal harekete geçilmesini öneriyor:
- Varsayılan Kimlik Bilgilerini Değiştir: Tüm SSR’lerde fabrikada belirlenen şifreleri güçlü, benzersiz şifrelerle değiştirin.
- Günlükleri İzleme: Erişim günlüklerini anormalliklere karşı düzenli olarak inceleyin ve şüpheli etkinlikler için uyarılar ayarlayın.
- Güvenlik Duvarlarını ve İzinsiz Giriş Tespit Sistemlerini (IDS) dağıtın: Yetkisiz erişimi engelleyin ve ağ davranışını izleyin.
- Ürün Yazılımını Güncelle: Tüm cihazların en son yazılım yamalarını çalıştırdığından emin olun.
Zaten güvenliği ihlal edilmiş sistemler için Juniper, etkilenen yönlendiricilerin yeniden görüntülenmesini önerir. Bu, kötü amaçlı yazılımı ortadan kaldırmanın ve cihazı güvence altına almanın tek garantili yoludur.
Olay, siber güvenlik için en iyi uygulamalara bağlı kalmanın kritik öneminin altını çiziyor. Zayıf şifre yönetimi, SSR’lere yapılan bu saldırının da gösterdiği gibi, IoT güvenlik açıklarının önde gelen nedeni olmaya devam ediyor.
Kuruluşların, ağlarını Mirai gibi gelişen tehditlere karşı korumak için sağlam güvenlik önlemlerine öncelik vermesi gerekiyor. İşletmeler şimdi proaktif adımlar atarak riskleri azaltabilir ve altyapılarını gelecekte benzer saldırılara karşı koruyabilir.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin