Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Nesnelerin İnterneti Güvenliği
Saldırganlar Eski Kusurdan Yararlanıyor, TP-Link Archer Yönlendiricilerini Ele Geçiriyor
Prajeet Nair (@prajeetspeaks) •
17 Nisan 2024
Yarım düzine farklı botnet, dağıtılmış hizmet reddi saldırılarına katılmalarını sağlamak amacıyla geçen yazdan bu yana yama yapılmayan TP-Link markalı Wi-Fi yönlendiricileri için internette dolaşıyor.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Çinli yönlendirici üreticisi TP-Link, Haziran ayında, 100 dolardan daha düşük fiyata satılan bir konut modeli olan Archer AX21 yönlendiricisindeki bir komut enjeksiyon güvenlik açığını giderdi. Tüketici sınıfı yönlendiriciler, üreticilerin yama geliştirme konusunda yavaş olması veya tüketicilerin bunları uygulamaması nedeniyle düzensiz yama uygulama konusunda kötü bir şöhrete sahiptir. Bir endüstri CISO’su, Oxford Üniversitesi akademisyenlerine 2023 tarihli bir makaleyi araştırırken “İnternete bir kez bağlandıklarında artık yönlendiriciyi umursamazlar” dedi.
CVE-2023-1389 olarak takip edilen güvenlik açığı, saldırganların web yönetim arayüzündeki “yerel” API’yi çağırarak kötü amaçlı komutlar eklemesine olanak tanıyor. Saldırganların kullandığı set_country yama yapılmamış yönlendiriciler bu girişi temizlemediğinden uzaktan kod eklemek için.
Fortinet’teki araştırmacılar Salı günü yaptığı açıklamada, geçtiğimiz ay boyunca Moobot, Miori, Golang tabanlı ajan “AGoent”, bir Gafgyt çeşidi ve kötü şöhretli Mirai botnet’inin isimsiz bir çeşidi dahil olmak üzere, güvenlik açığından yararlanmaya odaklanan çok sayıda saldırı gözlemlediklerini söyledi. Fortinet’in 2023’teki açıklamasına göre, Mirai’den türetilen birçok botnet’in operatörleri daha önce Archer AX21’i hedef almıştı (bkz.: İhlal Özeti: E-postalar için Kış Vivern Avı).
Bu saldırılarda kullanılan AGoent botu, tespitten kaçmayı ve kalıcılık sağlamayı amaçlayan karmaşık davranışlar sergiliyor. AGoent, DDoS saldırıları, kripto para birimi madenciliği ve tamamlayıcı kötü amaçlı yazılımların kurulumu gibi çeşitli kötü amaçlı eylemleri gerçekleştirme yeteneğine sahiptir.
Gafgyt botunun Bashlite olarak da bilinen bir çeşidi, bu güvenlik açığını Linux tabanlı sistemlere yönelik DDoS saldırılarını genişletmek için kullanıyor. Gafgyt varyantı, kötü amaçlı komut dosyalarını indirip çalıştırarak komuta ve kontrol sunucularıyla bağlantılar kuruyor ve hedeflenen kurbanlara koordineli saldırılar başlatmak için talimatları bekliyor. Miori de dahil olmak üzere Mirai türevleri benzer saldırı metodolojilerini kullanıyor.
Yamasız TP-Link’i arayan başka bir botnet ise Condi’dir. Fortinet, 2023’te, aynı zamanda bir Mirai çeşidi olan Condi ile kiralık DDoS hizmeti satan web sitesi kesintileri bildirdi. Botnet, özellikle yama yapılmamış ürün yazılımıyla çalışan tüketici sınıfı Wi-Fi yönlendiricilerini hedefliyor. Kiralık DDoS siteleri, yasa dışı doğalarını gizlemek için genellikle kendilerini “stres yaratanlar” veya “destekleyenler” olarak pazarlar.
Bir tehdit aktörü, Mayıs 2022’de başlatılan bir “Condi Network” Telegram kanalı aracılığıyla Condi botnet’inin reklamını yaptı ve dağıtılmış hizmet reddi saldırıları sunarak ve botnet’in kaynak kodunu satarak hizmetten para kazanıyordu (bkz: Yükselen Condi Botnet Kampanyası Yamasız TP-Link Yönlendiricilerini Etkiliyor).
Nisan 2023’te Trend Micro’nun Zero Day Initiative araştırmacıları, CVE-2023-1389’un “Mirai botnet cephaneliğine eklendiğini” bildirdi. İlk kurbanın Doğu Avrupa’daki cihazlar olduğu görüldü, ancak enfeksiyonlar dünya çapında yayıldı.