Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Nesnelerin İnterneti Güvenliği
FortiGuard Laboratuvarları Botnet’in On Yıllık D-Link Güvenlik Açığından Yararlandığını Tespit Etti
Prajeet Nair (@prajeetspeaks) •
3 Mayıs 2024
Bilgisayar korsanları, on yıldır yama yapılmadan bırakılan D-Link ev yönlendiricilerinden yararlanıyor ve onları “Goldoon” adı verilen yeni oluşturulmuş bir botnet araştırmacısına dönüştürüyor.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
FortiGuard Laboratuarlarındaki araştırmacılar, botnet’i Nisan ayında belirlediler ve onu bir araya getiren bilgisayar korsanlarının, ilk olarak 2011’de satışa sunulan D-Link DIR-645 modelinde bulunan CVE-2015-2051 olarak takip edilen 2015 tarihli bir güvenlik açığını kullandıklarını keşfettiler. Uzaktan kod yürütme kusuru yamalı olarak kapatıldı. 2015 yılında.
Güvenlik açığı, saldırganların özel Ev Ağı Yönetim Protokolü aracılığıyla uzaktan rastgele komutlar yürütmesine olanak tanıyor. Saldırganlar, kötü amaçlı bir komutla bir HTTP isteği gönderir. HNAP, Cisco’nun 2008’de satın aldığı SOAP tabanlı bir protokoldür; D-Link bunu yönlendiricileri bir kurulum sihirbazına bağlamak için kullandı. 2015 yılında bir bilgisayar korsanı tarafından yapılan analiz, HNAP web sunucusunun başlıkla bir HTTP’yi ayrıştırırken kimlik doğrulama kontrollerini atladığını söylüyor GetDeviceSettingskod enjeksiyonuna izin veriyor.
Tüketici sınıfı yönlendiricilerde yamaların tutarsız uygulanması, genellikle üreticinin güncellemeleri geliştirmedeki gecikmelerinden veya tüketicilerin bunları yüklemeyi ihmal etmesinden kaynaklanan, iyi bilinen bir sorundur. 186 yönlendiricinin internet taramalarına dayanan 2018 ABD araştırması, örneklenen yönlendiricilerin %83’ünün siber saldırılara karşı savunmasız olduğunu ve bunların dörtte birinden fazlasının yüksek riskli veya kritik kusurlar içerdiğini söylüyor. Yine 2018’de İngiltere’deki internet kullanıcıları arasında yapılan bir ankette, katılımcıların yalnızca %14’ü yönlendirici donanım yazılımını güncellediklerini söylerken, yalnızca %18’i yönetici şifresini değiştirdiklerini söyledi.
Bir endüstri CISO’su, Oxford Üniversitesi akademisyenlerine 2023 tarihli bir makaleyi araştırırken “İnternete bir kez bağlandıklarında artık yönlendiriciyi umursamazlar” dedi.
Goldoon bilgisayar korsanları, savunmasız yönlendiricilere, tümü “altın” olarak adlandırılan ek dosyaları çağıran bir dosya indiricisi indirir. Betik, gerçek botnet kötü amaçlı yazılımını çağırıyor ve sabit başlığa sahip bir Tekdüzen Kaynak Tanımlayıcısı oluşturuyor User-Agent: FBI-Agent (Checking You) Nihai yükü elde etmek için. Aynı URI’ye bir web tarayıcısı aracılığıyla erişmeye çalışan herkes, “Üzgünüm, sen bir FBI Ajanısın ve sana yardım edemeyiz 🙁 Defol git yoksa seni öldürürüm :)” metnini içeren sözde bir hata mesajı alır.
Araştırmacılar, Goldoon botnet aktivitesinde nisan ortasında bir artış ve ayın geri kalanında neredeyse iki kat aktivite tespit etti. Botnet, ICMP, TCP ve DNS taşması da dahil olmak üzere dağıtılmış hizmet reddi saldırıları gerçekleştirmek için “şaşırtıcı 27 farklı yöntem içeriyor”.
DDoS yöntemlerinden bazılarının kod içermemesi Goldoon’un üzerinde çalışılan bir çalışma olduğunu gösteriyor.