Güvenlik araştırmacıları, CVE-2024-40891 olarak izlenen Zyxel CPE Serisi cihazlarında yeni keşfedilen sıfır gün komut enjeksiyon güvenlik açığını hedefleyen aktif sömürü girişimleri hakkında alarm verdiler.
Satıcı tarafından açılmamış ve açıklanmayan bu kritik güvenlik açığı, Censys tarafından bildirildiği gibi, küresel olarak potansiyel uzlaşmaya maruz kalan 1.500’den fazla cihazı bırakmıştır.
Güvenlik Açığı Hakkında-CVE-2024-40891
CVE-2024-40891, kimlik doğrulanmamış saldırganların “Süpervizör” veya “Zyuser” gibi hizmet hesapları aracılığıyla keyfi komutlar yürütmesine izin veren telnet tabanlı bir komut enjeksiyon güvenlik açığıdır.
Başarılı sömürü, sistem uzlaşması, veri hırsızlığı ve ağ sızmasına neden olabilir.
Güvenlik açığı, daha önce gözlemlenen HTTP tabanlı bir sorun olan CVE-2024-40890’a benzer, temel fark TELnet’in CVE-2024-40891 için saldırı vektörü olarak kullanılmasıdır.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek
Grinnoise güvenlik araştırmacıları, vahşi doğada bu kırılganlıktan yararlanmak için aktif girişimleri doğruladılar.
Bu sömürü girişimleri, güvenlik açığının 1 Ağustos 2024’te Vulncheck tarafından seçilmesine açıklanmasından sadece birkaç gün sonra ortaya çıktı.
Endişe verici bir şekilde, güvenlik açığı henüz resmi bir danışma veya ürün yazılımı güncellemesi ile Zyxel tarafından ele alınmamıştır.
Sömürü gözlemlendi ve yanıt
Greynoise, Vulncheck ile işbirliği içinde, 21 Ocak 2025’ten beri CVE-2024-40891 ile bağlantılı kötü amaçlı trafiği izlemektedir.
Sömürü kalıpları ve saldırgan IP’leri artık gerçek zamanlı olarak izleniyor. Saldırı hacmi göz önüne alındığında, güvenlik araştırmacıları, kuruluşların derhal savunma önlemleri alabilmelerini sağlamak için resmi bir satıcı yanıtı beklemek yerine kamuoyunun açıklamasını tercih ettiler.
Bu durum, özellikle Zyxel’in CPE serisi gibi yaygın olarak konuşlandırılan, internete bakan cihazlarda sıfır gün güvenlik açıkları tarafından sunulan risklerin altını çizmektedir.
Bu kusurdan yararlanan saldırganlar, etkilenen cihazların tam kontrolünü sağlayabilir ve bu sistemlere bağımlı kuruluşlar için önemli bir risk yaratabilir.
Zyxel CPE serisi cihazları kullanan kuruluşlar hemen aşağıdaki adımları atmalıdır:
- Ağ İzleme: Zyxel CPE yönetim arayüzlerini hedefleyen olağandışı telnet etkinliği için ağ trafiğini yakından izleyin.
- Erişim Denetimleri: Güvenilir IP adreslerine idari erişimi kısıtlayın ve kullanılmayan uzaktan yönetim işlevselliğini devre dışı bırakın.
- Satıcı Güncellemeleri: Zyxel’den güvenlik bültenleri veya yamalar için uyanık kalın ve güncellemeleri kullanıma sunulur yerleştirmez dağıtın.
- EOL cihazları: Yaşam sonuna ulaşan cihazları kullanıyorsanız, riskleri azaltmak için onları hizmetten çıkarmayı düşünün.
Siber güvenlik topluluğu Zyxel’i bu kritik güvenlik açığını ele almak için derhal resmi bir yama yayınlamaya çağırıyor. O zamana kadar, kuruluşların ağlarını korumak için tüm olası hafifletmeleri uygulamaları tavsiye edilir.
Collect Threat Intelligence with TI Lookup to improve your company’s security - Get 50 Free Request