Fortinet’in FortiGuard Laboratuvarlarındaki siber güvenlik araştırmacıları, özellikle D-Link yönlendiricilerini ve ağa bağlı depolama (NAS) cihazlarını hedef alan “Goldoon” adlı yeni bir botnet tehdidini ortaya çıkardı. Bu kötü amaçlı yazılım, CVE-2015-2051 (CVSS puanı: 10,0) güvenlik açığından yararlanarak cihazlara bulaşarak kullanıcı verilerini ve ağ güvenliğini riske atma potansiyeline sahiptir.
Şubat 2015’te tespit edilen bir güvenlik açığı olan CVE-2015-2051’in neredeyse on yıllık olduğunu belirtmekte fayda var. Bu güvenlik açığı öncelikle kullanım ömrü sona eren cihazları etkiler.
Eylül 2022’de Palo Alto Networks’ün 42. Birimi, aynı güvenlik açığının, kötü şöhretli Mirai botnet’in MooBot olarak bilinen ve D-Link cihazlarını hedef alan varyantı tarafından da kullanıldığını keşfetti. D-Link bu konuyu 2015 yılında ele aldı ve yanıtlarıyla ilgili daha fazla ayrıntıyı burada bulabilirsiniz.
Fortinet raporuna göre Goldoon, D-Link cihazlarına erişim sağlamak için kaba kuvvet saldırılarından yararlanıyor. Kaba kuvvet saldırıları, yetkisiz erişim elde edene kadar sistematik olarak farklı kullanıcı adı ve şifre kombinasyonlarını denemeyi içerir. Rapor, bu saldırıların hedeflenen cihazlardaki zayıf varsayılan kimlik bilgilerinden veya güncel olmayan donanım yazılımlarından yararlandığını öne sürüyor.
Goldoon, kurulduktan sonra virüslü cihazı bir bot’a dönüştürüyor ve onu botnet operatörünün kontrolü altındaki güvenliği ihlal edilmiş makinelerden oluşan bir ağa ekliyor. Bu bot ağı daha sonra aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı faaliyetler için kullanılabilir:
- Dağıtılmış Hizmet Reddi (DDoS) saldırılarının başlatılması: Web sitelerini veya çevrimiçi hizmetleri yoğun trafiğe maruz bırakarak bunların çökmesine veya yasal kullanıcılar tarafından kullanılamaz hale gelmesine neden olmak.
- Veri hırsızlığı: Oturum açma kimlik bilgileri, finansal ayrıntılar veya virüslü cihazda depolanan kişisel veriler gibi hassas bilgilerin çalınması.
- Kötü amaçlı yazılım yaymak: Kötü amaçlı yazılımın ağ üzerinde daha fazla yayılması ve potansiyel olarak diğer cihazlara bulaşması için güvenliği ihlal edilmiş cihazın kullanılması.
Rapor, D-Link cihazlarına yama eklemenin ve ürün yazılımını güncellemenin kritik rolünü vurguluyor. Güncelliğini yitirmiş ürün yazılımı genellikle saldırganların yararlanabileceği güvenlik açıkları içerir. Fortinet, D-Link kullanıcılarına şunları öneriyor:
- Otomatik ürün yazılımı güncellemelerini etkinleştirin: Çoğu cihaz güvenlik güncellemelerini otomatik olarak indirip yükleyebilir.
- Varsayılan kimlik bilgilerini değiştirin: Fabrikada ayarlanan kullanıcı adı ve parolayı güçlü, benzersiz bir kombinasyonla değiştirin.
- Güçlü ağ güvenliği uygulamalarını hayata geçirin: Güvenlik duvarlarını etkinleştirin, karmaşık şifreler kullanın ve bilinmeyen gönderenlerden gelen bağlantılara tıklarken veya ekleri açarken dikkatli olun.
“CVE-2015-2051 yeni bir güvenlik açığı olmamasına ve saldırı karmaşıklığı düşük olmasına rağmen, uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik etkisine sahiptir. Saldırganlar bu güvenlik açığından başarılı bir şekilde yararlandıktan sonra, başka saldırılar başlatmak için güvenliği ihlal edilmiş cihazları botnet’lerine dahil edebilirler. Yeni botnet’lerin devam eden gelişimi ve kullanıma sunulması nedeniyle mümkün olduğunda yamalar ve güncellemeler uygulanmasını şiddetle tavsiye ediyoruz.”
FortiGuard Laboratuvarları
Fortinet’in Goldoon’u keşfetmesi, gelişen siber tehdit ortamını hatırlatıyor. D-Link kullanıcıları, uygun cihaz güvenlik önlemlerini önceliklendirerek bu veya benzeri botnet saldırılarının kurbanı olma riskini en aza indirebilir.
İLGİLİ KONULAR
- Androxgh0st Kötü Amaçlı Yazılım Botnet Saldırısı için Sunucuları Hackliyor
- Rus Hackerlar Botnet Oluşturmak İçin Ubiquiti Yönlendiricilerini Hedefliyor
- Qakbot Botnet Bozuldu, Dünya Çapında 700.000 Bilgisayara Etkilendi
- Ddostf Botnet, Docker Ana Bilgisayarlarına Yönelik DDoS Saldırılarında Yeniden Ortaya Çıkıyor
- Mirai’nin NoaBot Botnet’i Cryptominer ile Linux Sistemlerini Hedefliyor