Kritik düzeydeki güvenlik açıklarından etkilenen cihazları hedef alan yeni bir botnet keşfedildi!
Söz konusu açıklığa sahip cihazlara yapılan saldırıların hala aktif olduğu ve bu saldırılar sırasında herkese açık şekilde yayınlanmış olan istismar kodlarının kullanıldığı öğrenildi. Şimdiye kadar en az on farklı güvenlik açığı için istismar kodunun kullanıldığı ve en sonuncusunun geçtiğimiz hafta sonu kullanıldığı görüldü.
Eski ve Yeni Açıklardan Yararlanıyor!
Başarılı şekilde enfekte edilen makineler, cihazın mimarisine özgü bir Mirai botnet ağına dahil edilecek işlem sonlandırılmaktadır. Şubat ayının ortasında, Palo Alto Networks’ün Unit 42 biriminde bulunan güvenlik araştırmacıları bu botnetten gelen saldırıları keşfetti ve faaliyetlerini izlemeye başladı.
Botnet operatörünün çeşitli hedefler için çoğu kritik olan on güvenlik açığına yönelik entegrasyonları yapması yaklaşık olarak bir ay sürdüğü öğrenildi.
Bu açıklar arasında, üreticinin yıllar önce düzelttiğini söylediği SonicWall SSL-VPN cihazlarında uzaktan komut çalıştırma güvenlik açığı olan VisualDoor da bulunuyor.
Yapılan saldırılarda, Vertica’nın Micro Focus Operation Bridge Reporter (OBR) ürünündeki uzaktan kod çalıştırma açığı olan CVE-2021-22502 gibi daha güncel durumlar da bulunmaktadır. OBR, diğer kurumsal yazılımlardan gelen verilere dayalı performans raporları oluşturmak için büyük veri teknolojisini kullanan bir üründür.
Mirai tabanlı botnetin operatörünün saldırılarında kullandığı diğer iki kritik öneme sahip güvenlik açığı ise Yealink Cihaz Yönetimi ürününü etkileyen CVE-2021-27561 ve CVE-2021-27562’dir. Bu ürün ile ilgili tespit edilen durumların detaylı teknik analizini buradan inceleyebilirsiniz.
Unit 42 araştırmacıları, saldırganların istismar ettiği güvenlik açıklarından üçü için henüz hedefler bilinmediği için tanımlanamadığını söylüyor. Bu saldırılarda kullanılan zafiyetlerin bir listesi aşağıda bulunmaktadır.
Kullanılan Zafiyetler
| ID | Vulnerability | Description | Severity |
| 1 | VisualDoor | SonicWall SSL-VPN Remote Command Injection Vulnerability | critical severity |
| 2 | CVE-2020-25506 | D-Link DNS-320 Firewall Remote Command Execution Vulnerability | critical severity, 9.8/10 |
| 3 | CVE-2021-27561 and CVE-2021-27562 | Yealink Device Management Pre-Auth ‘root’ Level Remote Code Execution Vulnerability | critical severity |
| 4 | CVE-2021-22502 | Remote Code Execution Vulnerability in Micro Focus Operation Bridge Reporter (OBR), affecting version 10.40 | critical severity, 9.8/10 |
| 5 | CVE-2019-19356 | Resembles the Netis WF2419 Wireless Router Remote Code Execution Vulnerability | high severity, 7.5/10 |
| 6 | CVE-2020-26919 | Netgear ProSAFE Plus Unauthenticated Remote Code Execution Vulnerability | critical severity, 9.8/10 |
| 7 | Unidentified | Remote Command Execution Vulnerability Against an Unknown Target | Unknown |
| 8 | Unidentified | Remote Command Execution Vulnerability Against an Unknown Target | Unknown |
| 9 | Unknown Vulnerability | Vulnerability Used by Moobot in the Past, Although the Exact Target is Still Unknown | Unknown |
Kullanılan Dosyalar
Saldırgan bir cihazı başarıyla enfekte ettikten sonra, bazı işlemlerin planlanmalarına (scheduled), filtre kuralları oluşturmalarına, kaba kuvvet saldırıları gerçekleştirmelerine ve botnet yazılımını yaymalarına izin veren çeşitli ikili(binary) dosyalarını cihaza indirmektedir.
- lol.sh: Mimariye özgü zararlı ikili dosyaları indirmektedir. Ayrıca betiği (script) yeniden çalıştırmak için bir iş planı (scheduled job) gerçekleştirmektedir. SSH, HTTP, telnet gibi bağlantı noktaları üzerinden gelen bağlantıları engelleyen trafik kuralları oluşturabilmektedir.
- install.sh: “zmap” ağ tarayıcısını yükler ve “GoLang”‘i ve “zmap” tarafından keşfedilen IP’lere kaba kuvvet saldırıları gerçekleştirmek için gerekli dosyalarını indirmektedir.
- nbrute. [arch]: kaba kuvvet saldırıları için kullanılan binary dosyası
- combo.txt: Kaba kuvvet saldırılarında kullanılacak kimlik bilgilerine sahip bir metin dosyası
- dark. [arch]: Mirai tabanlı binary, istismarlar vb. yollarla yayılmak amacıyla kullanılmaktadır.
Kaynaklar:
https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/
