16.8 C
İstanbul
15/04/2024
Image default
HaberlerSiber Saldırılar

Kritik açıklara sahip ağ güvenliği cihazlarını hedef alan botnet!

Kritik düzeydeki güvenlik açıklarından etkilenen cihazları hedef alan yeni bir botnet keşfedildi!

Söz konusu açıklığa sahip cihazlara yapılan saldırıların hala aktif olduğu ve bu saldırılar sırasında herkese açık şekilde yayınlanmış olan istismar kodlarının kullanıldığı öğrenildi. Şimdiye kadar en az on farklı güvenlik açığı için istismar kodunun kullanıldığı ve en sonuncusunun geçtiğimiz hafta sonu kullanıldığı görüldü.

Eski ve Yeni Açıklardan Yararlanıyor!

Başarılı şekilde enfekte edilen makineler, cihazın mimarisine özgü bir Mirai botnet ağına dahil edilecek işlem sonlandırılmaktadır. Şubat ayının ortasında, Palo Alto Networks’ün Unit 42 biriminde bulunan güvenlik araştırmacıları bu botnetten gelen saldırıları keşfetti ve faaliyetlerini izlemeye başladı.

Botnet operatörünün çeşitli hedefler için çoğu kritik olan on güvenlik açığına yönelik entegrasyonları yapması yaklaşık olarak bir ay sürdüğü öğrenildi.

Bu açıklar arasında, üreticinin yıllar önce düzelttiğini söylediği SonicWall SSL-VPN cihazlarında uzaktan komut çalıştırma güvenlik açığı olan VisualDoor da bulunuyor.

Yapılan saldırılarda, Vertica’nın Micro Focus Operation Bridge Reporter (OBR) ürünündeki uzaktan kod çalıştırma açığı olan CVE-2021-22502 gibi daha güncel durumlar da bulunmaktadır. OBR, diğer kurumsal yazılımlardan gelen verilere dayalı performans raporları oluşturmak için büyük veri teknolojisini kullanan bir üründür.

Mirai tabanlı botnetin operatörünün saldırılarında kullandığı diğer iki kritik öneme sahip güvenlik açığı ise Yealink Cihaz Yönetimi ürününü etkileyen CVE-2021-27561 ve CVE-2021-27562’dir. Bu ürün ile ilgili tespit edilen durumların detaylı teknik analizini buradan inceleyebilirsiniz.

Unit 42 araştırmacıları, saldırganların istismar ettiği güvenlik açıklarından üçü için henüz hedefler bilinmediği için tanımlanamadığını söylüyor. Bu saldırılarda kullanılan zafiyetlerin bir listesi aşağıda bulunmaktadır.

Kullanılan Zafiyetler
IDVulnerabilityDescriptionSeverity
1VisualDoorSonicWall SSL-VPN Remote Command Injection Vulnerabilitycritical severity
2CVE-2020-25506D-Link DNS-320 Firewall Remote Command Execution Vulnerabilitycritical severity, 9.8/10
3CVE-2021-27561 and CVE-2021-27562Yealink Device Management Pre-Auth ‘root’ Level Remote Code Execution Vulnerabilitycritical severity
4CVE-2021-22502Remote Code Execution Vulnerability in Micro Focus Operation Bridge Reporter (OBR), affecting version 10.40critical severity, 9.8/10
5CVE-2019-19356Resembles the Netis WF2419 Wireless Router Remote Code Execution Vulnerabilityhigh severity, 7.5/10
6CVE-2020-26919Netgear ProSAFE Plus Unauthenticated Remote Code Execution Vulnerabilitycritical severity, 9.8/10
7UnidentifiedRemote Command Execution Vulnerability Against an Unknown TargetUnknown
8UnidentifiedRemote Command Execution Vulnerability Against an Unknown TargetUnknown
9Unknown VulnerabilityVulnerability Used by Moobot in the Past, Although the Exact Target is Still UnknownUnknown
Zafiyet Tablosu
Kullanılan Dosyalar

Saldırgan bir cihazı başarıyla enfekte ettikten sonra, bazı işlemlerin planlanmalarına (scheduled), filtre kuralları oluşturmalarına, kaba kuvvet saldırıları gerçekleştirmelerine ve botnet yazılımını yaymalarına izin veren çeşitli ikili(binary) dosyalarını cihaza indirmektedir.

  • lol.sh: Mimariye özgü zararlı ikili dosyaları indirmektedir. Ayrıca betiği (script) yeniden çalıştırmak için bir iş planı (scheduled job) gerçekleştirmektedir. SSH, HTTP, telnet gibi bağlantı noktaları üzerinden gelen bağlantıları engelleyen trafik kuralları oluşturabilmektedir.
  • install.sh: “zmap” ağ tarayıcısını yükler ve “GoLang”‘i ve “zmap” tarafından keşfedilen IP’lere kaba kuvvet saldırıları gerçekleştirmek için gerekli dosyalarını indirmektedir.
  • nbrute. [arch]: kaba kuvvet saldırıları için kullanılan binary dosyası
  • combo.txt: Kaba kuvvet saldırılarında kullanılacak kimlik bilgilerine sahip bir metin dosyası
  • dark. [arch]: Mirai tabanlı binary, istismarlar vb. yollarla yayılmak amacıyla kullanılmaktadır.
Kaynaklar:

https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/

https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

Related posts

Sunburst Backdoor!

Mustafa Okay Maktav

WASTEDLOCKER RANSOMWARE

Mustafa Okay Maktav

ZeroLogon (CVE-2020-1472)

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası