Mirai botnet, DDoS saldırılarına TP-Link Archer A21 (AX1800) yönlendiricileri eklemek için CVE-2023-1389’dan yararlanır. Aralık 2022’deki Pwn2Own Toronto etkinliği sırasında, iki bilgisayar korsanlığı ekibi aşağıdakiler aracılığıyla güvenlik açığından farklı şekillerde yararlandı:-
- LAN arayüzleri
- WAN arayüzleri
Ocak 2023’te kusur TP-Link’te açıklandı ve raporun hemen ardından TP-Link, geçen ay düzeltmeyle birlikte yeni bir aygıt yazılımı güncellemesi yayınladı.
Mirai botnet, araç setini CVE-2023-1389’u içerecek şekilde güncelledi, ZDI tehdit avı ekibinin Doğu Avrupa’da telemetri sistemleri aracılığıyla yeni istismar girişimlerini tespit ettiği gözlemlendi.
Kusur Profili
- CVE Kimliği: CVE-2023-1389 (ZDI-CAN-19557/ZDI-23-451)
- Falw Açıklama: Bu güvenlik açığı, ağa bitişik saldırganların etkilenen TP-Link Archer AX21 yönlendirici kurulumlarında rasgele kod yürütmesine olanak tanır. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekli değildir. Özel kusur, birleştirme_ülke_yapılandırma işlevinde mevcuttur. Sorun, kullanıcı tarafından sağlanan bir dizenin sistem çağrısını yürütmek için kullanılmadan önce uygun şekilde doğrulanmamasından kaynaklanır. Saldırgan, kök bağlamda rasgele kod yürütmek için bu güvenlik açığından yararlanabilir.
- CVSS Puanı: 8.8
- Etkilenen Satıcı: TP-Link
- Etkilenen Ürün: Archer AX21
- Açıklama Zaman Çizelgesi: –
- 2023-01-25 – Güvenlik açığı satıcıya bildirildi
- 2023-04-24 – Danışmanlığın koordineli bir şekilde kamuya açıklanması
Bu güvenlik açığı, kimliği doğrulanmamış bir komut ekleme güvenlik açığıdır ve web yönetimi arayüzünün yerel ayar API’sinde tanımlanmıştır.
Bu kusurun başarılı bir şekilde kullanılması, kullanıcıların çağırmak istedikleri formu sorgu dizesi formu ve tipik bir işlem aracılığıyla belirlemelerine olanak tanır: –
veya
Siber saldırganlar, ülke parametresinin bir parçası olarak bir komut yükünü dahil ederek ve ardından komutu etkinleştirmek için ikinci bir istek başlatarak kusurdan yararlanabilir.
11 Nisan 2023’te, vahşi istismarın ilk belirtileri su yüzüne çıktı ve o zamandan beri dünya çapında kötü niyetli etkinlik tespit edildi.
Mirai kötü amaçlı yazılım botnet’i artık cihazların güvenliğini aşmak için güvenlik açığını kullanıyor ve ardından yönlendiricinin mimarisi için uygun ikili yükü indirerek cihazı botnet’ine alıyor.
Mirai’nin mevcut sürümü, özellikle oyun sunucularında DDoS saldırılarına odaklanmaktadır. Valve Source Engine’i (VSE) hedefleyebilir ve bu odağı yansıtan özelliklere sahiptir.
Bu yeni kötü amaçlı yazılım sürümü, gerçek ağ trafiğini çoğaltabilir ve bu da DDoS azaltma çözümlerinin kötü amaçlı trafiği algılamasını zorlaştırır.
Tanımlama veya tespit için, aşağıda, virüslü bir TP-Link yönlendiricisinin ortak belirtilerinden bahsettik:-
- aşırı ısınma
- internet kopuklukları
- Cihazın ağ ayarlarında, belirsiz değişiklikler
- Yönetici kullanıcı parolalarının istenmeyen şekilde sıfırlanması
Yama
24 Şubat 2023’te TP-Link, mevcut sorunu çözmek için adımlar attı. Ne yazık ki, şirketin çözümü yetersizdi ve daha fazla istismarı engelleyemedi.
Ancak 14 Mart 2023’te şirket, CVE-2023-1389’u düzeltmek için yamayı içeren bir ürün yazılımı güncellemesi yayınladı ve aşağıda güncellenmiş sürümden bahsetmiştik:-
Archer AX21 AX1800 çift bantlı WiFi 6 yönlendirici kullanıcısıysanız, resmi güncelleme sayfalarından en son üretici yazılımı güncellemesini indirebilirsiniz.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin