2022’nin ikinci yarısında, Realtek Jungle SDK’daki bir uzaktan kod yürütme güvenlik açığından yararlanan önemli sayıda siber saldırı bildirildi. 134 milyonu bulan bu saldırılar, akıllı cihazları ele geçirmeyi amaçlıyordu.
Söz konusu güvenlik açığı, etkilenen cihazlara yetkisiz erişim sağlayarak saldırganların kod yürütmesine ve cihazlar üzerinde tam kontrol sahibi olmasına olanak tanıyor.
Güvenlik açığı, Unit 42 araştırmacıları tarafından 10 üzerinden 9,8 gibi yüksek önem derecesiyle CVE-2021-35394 olarak tanımlandı ve çeşitli kötü niyetli aktörler tarafından hedef alındı.
Palo Alto Networks, bir önceki yılın Ağustos-Ekim ayları arasında tüm olayların %40’ından fazlasına tekabül eden söz konusu güvenlik açığından yararlanma girişimlerinde önemli bir artış saptadı.
Yüzlerce farklı türde cihaz Realtek’in RTL8xxxx yongalarını kullandığından toplam 190 cihaz modeli CVE-2021-35394’ten etkilendi. Ve aşağıda duyarlı olanlardan bahsetmiştik: –
- Yönlendiriciler
- Konut ağ geçitleri
- IP kameralar
- 66 farklı üreticiden Wi-Fi tekrarlayıcılar (Asus, Belkin, D-Link, Huawei, LG, Logitech, Netgear, ZTE ve Zyxel gibi)
Güvenlik Açığı Profili
- CVE Kimliği: CVE-2021-35394
- Temel Puan: 9.8
- Önem Derecesi: Kritik
- Açıklama: Realtek Jungle SDK sürümü v2.x’ten v3.4.14B’ye kadar, genellikle ‘UDPServer’ ikili dosyası olarak derlenen ‘MP Daemon’ adlı bir teşhis aracı sağlar. İkili, birden çok bellek bozulması güvenlik açığından ve kimliği doğrulanmamış uzaktan saldırganlar tarafından yararlanılabilen rastgele bir komut enjeksiyon güvenlik açığından etkilenir.
Sömürü güvenlik açığı
Eylül 2022’de “RedGoBot” adlı güçlü bir botnet kötü amaçlı yazılımının ortaya çıkışı gözlemlendi. Bu kötü amaçlı yazılım özellikle CVE-2021-35394’e karşı savunmasız olan IoT cihazlarını hedefliyor.
Bu saldırılar sonucunda üç farklı türde faydalı yük teslim edildi ve aşağıda bunlardan bahsettik:-
- Bir kabuk komutu yürüterek kötü amaçlı yazılımı hedef sunucuya indiren yürütülebilir bir komut dosyası.
- İkili bir yükü yazan ve yürüten enjekte edilebilir bir komut.
- Sunucuya, sunucunun yeniden başlatılmasına neden olan bir komut enjekte edildi.
Bu saldırıların çoğundan sorumlu birkaç botnet kötü amaçlı yazılım ailesi vardır ve burada bunlardan aşağıda bahsedilmiştir:-
Eylül ayında RedGoBot, DDoS saldırıları gerçekleştirmek için bu güvenlik açığından da yararlandı. Botnet’in desteklediği taşma yöntemlerine ek olarak, aşağıdaki protokollerde DDoS saldırıları gerçekleştirebilir:-
- HTTP
- ICMP
- TCP
- UDP
- HER ŞEY
- OpenVPN
Saldırı Kaynakları
Saldırının kökenleri açısından, dahil olan otuzdan fazla uluslararası bölge vardı. Tüm saldırıların %48,3’lük bir payı Amerika Birleşik Devletleri’nden geliyor ve bu da onu en çok saldırıyı üreten ülke yapıyor.
Hiç şüphe yok ki bu ülkeler, aşağıdakiler de dahil olmak üzere, güvenlik uzmanlarının bu saldırılara katılan tehdit aktörlerini gözlemlediği ilk yedi ülke arasında yer alıyor:-
- Vietnam
- Rusya
- Hollanda
- Fransa
- Lüksemburg
- Almanya
15 Ağustos 2021’de Realtek, CVE-2021-35394 olarak tanımlanan kusur da dahil olmak üzere bir dizi kritik güvenlik açığını gidermek için harekete geçti.
Ne yazık ki bu güvenlik açığı, CVE-2021-35395 gibi diğerleriyle birlikte, kötü niyetli aktörler tarafından hızlı bir şekilde hedef alındı. Aralık ayına kadar, bot ağları bu güvenlik açıklarından yararlanmaya devam ediyordu.
öneriler
CVE-2021-35394 kullanılarak gözlemlenen yüksek hacimli saldırılar, siber suçluların aktif olarak bir şirketin tedarik zincirindeki güvenlik açıklarını aradıklarının açık bir göstergesidir.
Tedarik zinciri güvenliğinin önemini vurgulayan bu tür güvenlik açıkları, bireyler için tespit edilmesi ve düzeltilmesi zor olabilir.
Aşağıda uzmanların sunduğu önerilere değindik:-
- Yeni Nesil Güvenlik Duvarları ile sağlam güvenlik korumaları uygulayın.
- Yamaları düzenli olarak uyguladığınızdan emin olun.
- Cihazları her zaman en son yükseltmelerle güncel tutun.
- Virüs bulaşması durumunda cihaza fabrika ayarlarına sıfırlama uygulayın.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin