Siber güvenlik şirketi Greynoise uyardığı, Zyxel CPE Serisi Serisi telekomünikasyon cihazlarında bir komut enjeksiyon güvenlik açığı olan CVE-2024-40891, üretici tarafından henüz düzeltilmemiş olan telekomünikasyon cihazlarında saldırganlar tarafından hedefleniyor.
Başarılı sömürü, saldırganların etkilenen cihazlarda keyfi komutlar yürütmesine izin vererek potansiyel olarak tam sistem uzlaşmasına, ağ sızmasına ve veri açığa çıkmasına yol açacaktır.
“CVE-2024-40891’den yararlanan IP’ler ile Mirai olarak sınıflandırılanlar arasında önemli bir örtüşme belirledikten sonra, ekip Mirai’nin yeni bir varyantını araştırdı ve CVE-2024-40891’den bazı Mirai suşlarına dahil edildiğini doğruladı” Şirket eklendi.
CVE-2024-40891 HAKKINDA
CVE-2024-40891’in varlığı ilk olarak Temmuz 2024’te güvenlik açığı istihbarat şirketi Vulncheck tarafından kamuya açıklandı, ancak yaklaşık altı ay sonra Zyxel tarafından ortaya çıkmadan ve söz konusu değil.
Ne yazık ki, saldırganlar dikkat ediyorlar ve Geynoise’e göre, internete bakan cihazlardaki güvenlik açığından yararlanmaya çalışıyorlar. Bir şirket sözcüsü Net Security’ye verdiği demeçte, “Bu denemeler gerçek savunmasız cihazlara karşı başlatılmış olsaydı, başarılı girişler olurdu” dedi.
“CVE-2024-40891, CVE-2024-40890’a (gözlemlenen kimlik doğrulama girişimleri, gözlemlenen komut enjeksiyon denemeleri) çok benzer, temel fark, birincisinin telnet tabanlı olmasıdır. Her iki güvenlik açığı da kimlik doğrulanmamış saldırganların hizmet hesaplarını (süpervizör ve/veya zyuser) kullanarak keyfi komutlar yürütmesine izin veriyor, ”dedi Greynoise’nin güvenlik araştırma ve algılama mühendisliği kıdemli direktörü Glenn Thorpe.
“Grinnoise araştırmacıları 21 Ocak 2025’te bu sayı için bir etiket oluşturdular ve bu açıklamayı koordine etmek için Vulncheck ile çalıştılar. Normalde, açıklama satıcı ile koordine edilecektir, ancak çok sayıda saldırı nedeniyle bunu hemen yayınlamaya karar verdik. ”
Sömürü önlemek
İnternete bağlı varlıkları tanımlamak için bir web platformu olan Censys.io, şu anda çoğunlukla Filipinler, Türkiye ve Avrupa’da 1.500 savunmasız cihaz göstermektedir.
CVE-2024-40891 için resmi bir düzeltme olmadığından, bunları çalıştıran kuruluşlara şu tavsiye edilir:
- Yalnızca güvenilir IP adreslerinden cihazların yönetim arayüzüne bağlantılara izin verin
- Bunları kullanmazlarsa uzaktan yönetim özelliklerini devre dışı bırakın
- Zyxel’in yama duyuruları için resmi kanallarını izleyin ve nihayet sunulduğunda yamayı uygulayın.
Eylül 2024’te Zyxel, yaşam sonu NAS cihazlarında kritik ve kolayca sömürülen bir komut enjeksiyon güvenlik açığı için sıcaklıkları itti.
Ne yazık ki, tüm müdahaleleri o kadar da yararlı olmamıştı: Şirket, yakın zamanda bazı güvenlik duvarlarını hatalı bir uygulama imzası güncellemesi yayınlayarak yeniden başlatma döngüsüne attı. Döngü, yalnızca bir konsol / RS232 kablosunu cihaza fiziksel olarak bağlayarak, yeniden başlatarak ve hata ayıklama moduna girdikten sonra belirli eylemleri gerçekleştirerek kesintiye uğrayabilir.