Zyxel Güvenlik Duvarları Helldown Fidye Yazılımı Saldırılarında İstismar Edildi

   Kasım 29, 2024  Posted in ThecyberExpress


Zyxel Güvenlik Duvarları, saldırganların tehlikeli Helldown fidye yazılımını dağıtmak için kritik bir güvenlik açığından yararlanmasıyla son siber saldırılarda önemli bir hedef haline geldi. Alman CERT (CERT-Bund), Zyxel’in yanı sıra, bu saldırıların kapsamını ayrıntılarıyla anlatan ve kuruluşların ağ cihazlarını korumak için atması gereken acil adımları özetleyen bir uyarı yayınladı.

Saldırılar, Zyxel ZLD donanım yazılımındaki Zyxel ATP ve USG FLEX güvenlik duvarı serisini etkileyen CVE-2024-11667 güvenlik açığıyla bağlantılı. Beş Alman kuruluşunun bu saldırıların hedefi olduğuna inanılıyor ve bu tür güvenlik açıklarının yamasız bırakılmasının artan riskleri vurgulanıyor.

CVE-2024-11667 Zyxel Güvenlik Duvarlarındaki Güvenlik Açığı

Zyxel Güvenlik Duvarları güvenlik açığıZyxel Güvenlik Duvarlarındaki güvenlik açığı
CERT-Bund, CVE-2024-11667 Güvenlik Açığı Hakkında Bildirimde Bulundu (Kaynak: CERT-Bund)

Temel sorun, Zyxel ZLD donanım yazılımındaki (sürüm 4.32 ila 5.38) bir dizin geçiş güvenlik açığı olan CVE-2024-11667’dir. Bu kusur, saldırganların güvenlik önlemlerini atlamasına ve özel hazırlanmış URL’ler aracılığıyla dosya yüklemesine veya indirmesine olanak tanır. Siber suçlular, bu güvenlik açığından yararlanarak, genellikle ağ yöneticilerinin bilgisi olmadan sisteme yetkisiz erişim sağlayabilir, kimlik bilgilerini çalabilir ve arka kapı VPN bağlantıları oluşturabilir.

En fazla risk altında olan cihazlar, uzaktan yönetim veya SSL VPN’nin etkin olduğu, 4.32 ile 5.38 arasındaki ZLD ürün yazılımı sürümlerini çalıştıran cihazlardır. Daha da önemlisi Nebula bulut yönetim sistemi aracılığıyla yönetilen cihazlar bu güvenlik açığından etkilenmez.

Helldown Fidye Yazılımının Yükselişi

İlk olarak Ağustos 2024’te gözlemlenen Helldown fidye yazılımı, zayıf Zyxel güvenlik duvarlarını hedeflemek için CVE-2024-11667’den yararlanarak hızla kötü amaçlı bir tehdide dönüştü. Ünlü LockBit fidye yazılımı oluşturucusundan türetilen Helldown, genellikle değerli verileri şifrelemek ve operasyonları aksatmak amacıyla ağlara sızmak ve yanal hareket etmek için gelişmiş teknikler kullanıyor.

CERT-Bund’a göre şu an itibariyle Helldown’ın sızıntı sitesi, Almanya’daki beş kuruluş da dahil olmak üzere dünya çapında 32 kurbanı listeledi. Saldırganların değiştirilmemiş yönetici kimlik bilgilerini kullanarak erişim elde etmesi durumunda, yama uygulanmış sistemler bile savunmasız kalabileceğinden, fidye yazılımının bu güvenlik açığından yararlanma yeteneği endişe vericidir.


Tarayıcınız video etiketini desteklemiyor.

Saldırı Nasıl Gelişiyor?

Birincil saldırı vektörü, hedeflenen sistemlere ilk erişim sağlamak için CVE-2024-11667 güvenlik açığından yararlanılmasıdır. Saldırganlar içeri girdikten sonra genellikle “SUPPORT87” ve “SUPPORT817” gibi yetkisiz kullanıcı hesapları oluşturmak da dahil olmak üzere gelişmiş istismar sonrası taktikler kullanır.

Bu hesaplar, ilk ihlalden sonra bile sürekli erişime izin veren kalıcı arka kapılar oluşturarak ağ içinde yanal hareketi kolaylaştırmak için kullanılır. Bu saldırıların etkisi oldukça ciddi: Kuruluşlar, genellikle dosyaların şifresinin çözülmesi için fidye talep etme amacıyla veri sızıntısı, kritik dosyaların şifrelenmesi ve operasyonel kesintiler yaşandığını bildirdi.

Uzlaşmanın Belirlenmesi: Temel Göstergeler

Zyxel güvenlik duvarlarını kullanan kuruluşlar, sistemlerinin güvenliğinin ihlal edildiğine dair işaretlere karşı dikkatli olmalıdır. Temel göstergelerden bazıları şunlardır:

  • “SUPPORT87” veya “VPN” gibi bilinmeyen hesaplardan gelen olağandışı VPN bağlantılarını gösteren günlükler bir tehlike işaretidir. Saldırganlar IP adreslerini maskelemek için VPN hizmetlerini de kullanabilirler.
  • WAN, LAN ve SSL VPN bölgeleri arasında sınırsız erişim gibi güvenlik duvarı kurallarında yapılan değişiklikler bir ihlalin göstergesi olabilir. Benzer şekilde saldırganlar, WAN’dan LAN’a yetkisiz erişime izin vermek için NAT kurallarını değiştirebilir.
  • Açıklanamayan oturum açma işlemleri veya yetkisiz yönetici hesaplarının oluşturulması, kötü amaçlı etkinlik izlenimi verebilir. Güvenlik günlükleri, özellikle bilinmeyen IP adreslerinden gelen olağandışı yönetim eylemlerini gösterebilir.
  • Saldırganlar, Active Directory (AD) sunucularına erişmek için çalınan kimlik bilgilerini kullanabilir ve bu sistemlerde depolanan dosyaların şifrelenmesine yol açabilir.

Çözüm

Zyxel güvenlik duvarlarını kullanan kuruluşlar, VPN günlüklerini inceleyerek, SecuReporter’ı şüpheli etkinlik açısından inceleyerek ve güvenlik duvarı kurallarını kontrol ederek olası güvenlik ihlallerini tespit etmek ve düzeltmek için hızlı bir şekilde harekete geçmelidir. Düzeltme, ZLD 5.39’a yükseltmeyi, şifreleri değiştirmeyi, yetkisiz hesapları kaldırmayı ve güvenlik politikalarının sıkılaştırılmasını içerir.

Zyxel, gereksiz uzaktan erişimin devre dışı bırakılmasını, varsayılan bağlantı noktalarının değiştirilmesini, iki faktörlü kimlik doğrulamanın (2FA) etkinleştirilmesini ve Geo-IP filtrelemesinin kullanılmasını önerir. Sistemlerin güvenliğini sağlamak için düzenli yedeklemeler, şifreleme ve sürekli izleme çok önemlidir. Helldown fidye yazılımının yükselişi, zamanında cihaz yazılımı güncellemeleri ve güçlü erişim kontrolleri dahil olmak üzere daha iyi güvenlik önlemlerine olan ihtiyacın altını çiziyor.



Source link