Mirai tabanlı yeni bir botnet, takip numarası almayan ve DigiEver DS-2105 Pro NVR’lerde yamalanmamış gibi görünen bir uzaktan kod yürütme güvenlik açığından aktif olarak yararlanıyor.
Kampanya Ekim ayında başladı ve birden fazla ağ video kaydedicisini ve güncelliğini yitirmiş donanım yazılımına sahip TP-Link yönlendiricilerini hedefliyor.
Kampanyada kullanılan güvenlik açıklarından biri, TXOne araştırmacısı Ta-Lun Yen tarafından belgelendi ve geçen yıl Romanya’nın Bükreş kentinde düzenlenen DefCamp güvenlik konferansında sunuldu. Araştırmacı, sorunun birden fazla DVR cihazını etkilediğini söyledi.
Akamai araştırmacıları, botnet’in kasım ayı ortasında bu kusurdan yararlanmaya başladığını gözlemledi ancak kampanyanın en azından Eylül ayından bu yana aktif olduğuna dair kanıtlar buldu.
DigiEver kusurunun yanı sıra, yeni Mirai kötü amaçlı yazılım çeşidi aynı zamanda TP-Link cihazlarında CVE-2023-1389’u ve Teltonika RUT9XX yönlendiricilerinde CVE-2018-17532’yi de hedefliyor.
DigiEver NVR’lerine saldırılar
DigiEver NVR’lerini tehlikeye atmak için kullanılan güvenlik açığı, bir uzaktan kod yürütme (RCE) kusurudur ve bilgisayar korsanları ‘/cgi-bin/cgi_main.dll’ dosyasını hedefliyor. Kullanıcı girişlerini hatalı şekilde doğrulayan cgi’ URI’si.
Bu, kimliği doğrulanmamış uzaktaki saldırganların, HTTP POST isteklerindeki ntp alanı gibi belirli parametreler aracılığıyla ‘curl’ ve ‘chmod’ gibi komutları enjekte etmesine olanak tanır.
Akamai, Mirai tabanlı bu botnet tarafından gördüğü saldırıların Ta-Lun Yen’in sunumunda anlatılanlara benzer göründüğünü söylüyor.
Saldırganlar, komut enjeksiyonu yoluyla kötü amaçlı yazılım ikilisini harici bir sunucudan alır ve cihazı kendi botnet’ine kaydeder. Kalıcılık, cron işleri eklenerek sağlanır.
Cihaz ele geçirildiğinde, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek veya istismar kümeleri ve kimlik bilgisi listelerinden yararlanarak diğer cihazlara yayılmak için kullanılır.
Akamai, yeni Mirai varyantının XOR ve ChaCha20 şifrelemesini kullanması ve x86, ARM ve MIPS dahil olmak üzere çok çeşitli sistem mimarilerini hedeflemesi nedeniyle dikkate değer olduğunu söylüyor.
Akamai, “Karmaşık şifre çözme yöntemlerinin kullanılması yeni olmasa da, Mirai tabanlı botnet operatörleri arasında gelişen taktikler, teknikler ve prosedürlere işaret ediyor” yorumunu yapıyor.
Araştırmacılar, “Bu çoğunlukla dikkate değer çünkü birçok Mirai tabanlı botnet hala orijinal Mirai kötü amaçlı yazılım kaynak kodu sürümünde yer alan geri dönüştürülmüş koddan elde edilen orijinal dize gizleme mantığına bağlı” diyor.
Araştırmacılar, botnet’in Teltonika RUT9XX yönlendiricilerindeki bir güvenlik açığı olan CVE-2018-17532’nin yanı sıra TP-Link cihazlarını etkileyen CVE-2023-1389’dan da yararlandığını belirtiyor.
Kampanyayla ilişkili risk göstergeleri (IoC), tehdidi tespit etmeye ve engellemeye yönelik Yara kurallarıyla birlikte Akamai’nin raporunun sonunda mevcuttur.