DDoS Koruması , Güvenlik İşlemleri
Mirai Botnet, Artık Yamalı Zyxel Kusurunu Hedefliyor
Mathew J. Schwartz (euroinfosec) •
25 Mayıs 2023
Mirai botnet’in sürümleri, çok sayıda Zyxel ağ cihazında bulunan bir işletim sistemi komut enjeksiyon güvenlik açığını hedefliyor. Zyxel güvenlik açığını Nisan ayında yamaladı, ancak düzeltmeyi kaç kullanıcının uyguladığı belli değil. Güvenlik uzmanları, kusurun büyük ölçekte istismar edildiği konusunda uyarıyor, bu da kullanıcıların güvenlik açığını mümkün olan en kısa sürede düzeltmesi gerektiği anlamına geliyor.
Ayrıca bakınız: Modern Ortamlar İçin Modern Çözümlerle Karmaşıklığı Azaltın ve Performansı Artırın
Google’ın VirusTotal kötü amaçlı yazılım izleme sitesi tarafından ayrıntılı olarak açıklandığı gibi, birden fazla kötü amaçlı yazılım önleme firması saldırıları izliyor. Zyxel hedefli Mirai kötü amaçlı yazılımı, Linux ve Unix çalıştırılabilir ve bağlanabilir bir format olarak yayılıyor – namı diğer .elf – dosya.
Güvenlik firması Rapid 7, “Kamuya açık internete maruz kalan yaklaşık 42.000 Zyxel web arayüzü örneği var” dedi. “Ancak bu, savunmasız VPN uygulamalarını yakalamıyor, bu da gerçek maruz kalmanın muhtemelen çok daha yüksek olduğu anlamına geliyor.”
Zyxel hedefli Mirai kodu, 2016’da çok sayıda nesnelerin interneti cihazına bulaşabilen bir botnet tasarlayan üç Minecraft oyuncusunun mirasıdır. t veya değişemezdi.
Orijinal Mirai kodlayıcıları 2017’de federal suçlamaları kabul ettiler. Bilinmeyen bir kişinin Mirai kodunu çevrimiçi olarak yayınlamasının ardından, farklı saldırgan grupları bu kodu yeni kampanyalar için uyarlamaya devam etti.
Son zamanlarda buna, şirketin birden çok cihazda CVE-2023-28771 olarak adlandırılan bir sabit yazılım güvenlik açığını düzeltmek için Nisan ayında bir yama yayınlamasının ardından, Tayvanlı Zyxel tarafından üretilen ağ cihazlarının hedeflenmesi de dahil.
Satıcı, “bazı güvenlik duvarı sürümlerinde yanlış hata mesajı işlemenin, kimliği doğrulanmamış bir saldırganın, etkilenen bir cihaza hazırlanmış paketler göndererek bazı işletim sistemi komutlarını uzaktan yürütmesine izin verebileceğini” bildirdi.
Rapid7, “Savunmasız bileşen, cihaz tarafından sunulan IPSec VPN hizmetinin bir parçasını oluşturan İnternet Anahtar Değişimi – IKE – paket kod çözücüdür” dedi.
Kullanıcıların VPN’yi yapılandırıp yapılandırmadığına bakılmaksızın, güvenlik açığından etkilenen ürün yazılımı çalıştıran herhangi bir üründe bu kusurdan yararlanılabilir. Rapid7, “Etkilenen bir cihaz, varsayılan durumda savunmasızdır” dedi. “Bir saldırgan, WAN arabirimindeki 500 numaralı bağlantı noktasına özel hazırlanmış bir UDP paketi gönderebilir ve kök kullanıcı olarak kimliği doğrulanmamış komut yürütme gerçekleştirebilir.”
İngiliz siber güvenlik araştırmacısı Kevin Beaumont, kusuru hedeflemek için güncellenmiş Mirai kodunu kullanarak çok sayıda Zyxel “SMB VPN kutusunun artık saldırganlara ait olduğunu” söyledi. Kusuru “süper istismar edilebilir” olarak sınıflandırdı çünkü tasarım gereği herkesin erişebileceği ve kimlik doğrulaması gerekmeden erişilebilen bir hizmeti hedeflemek için kullanılabilir.