Zyxel Cihazları CVE-2023-28771 Güvenlik Açığını Hedef Alan Etkin Saldırılara Maruz Kaldı
CVE-2023-28771 olarak izlenen ciddi bir güvenlik açığı, Zyxel ağ cihazlarını etkiliyor. GreyNoise'daki güvenlik araştırmacıları, 16 Haziran'da ani bir artış ve saldırganların bu açığı istismar etmek için yoğun bir çaba gösterdiğini fark etti.
Bu güvenlik açığı uzaktan kod yürütülmesine izin verir, bu da saldırganların kendi programlarını güvenlik açığı bulunan cihazlarda uzaktan çalıştırabileceği anlamına gelir. Bu belirli zayıflık, Zyxel cihazlarının UDP portu 500'den gelen İnternet Anahtar Değişimi (IKE) paketleri adı verilen belirli internet mesajlarını nasıl işlediğinde bulunur.
Bu Zyxel açığını hedef alan saldırılar asgari düzeyde olsa da, 16 Haziran'da faaliyetlerde önemli bir artış yaşandı. GreyNoise, tek bir gün içinde sorunu istismar etmeye çalışan 244 farklı internet adresi kaydetti.
Bu saldırılar çeşitli ülkelerdeki cihazları hedef alıyor, en çok hedef alınanlar ise şunlar:
- Hindistan
- İspanya
- Almanya
- Amerika Birleşik Devletleri
- Birleşik Krallık
İlginçtir ki, bu 244 saldırı adresinin incelenmesi, bu ani patlamadan önceki iki hafta içinde başka herhangi bir şüpheli ağ etkinliğine karışmadıklarını gösterdi.
Saldıran internet adreslerine yönelik bir soruşturma, hepsinin Verizon Business altyapısı altında kayıtlı olduğunu ve Amerika Birleşik Devletleri'nden kaynaklandığı ortaya çıktı. Ancak saldırılar, sahteciliğe (gönderenin adresinin sahteciliği) izin veren UDP portu 500'ü kullandığı için gerçek kaynak gizli olabilir, GreyNoise araştırmacıları Hackread.com ile paylaştıkları blog yazısında belirttiler.
GreyNoise tarafından yapılan ve VirusTotal tarafından desteklenen daha detaylı analizler, bu saldırıların cihazları ele geçiren bir tür kötü amaçlı yazılım olan Mirai botnetinin varyantlarıyla bağlantılı olabileceğine dair işaretler buldu.
Bu aktif tehditlere yanıt olarak, güvenlik uzmanları derhal harekete geçilmesi çağrısında bulunuyor. Tanımlanan 244 kötü amaçlı IP adresinin tümünün engellenmesi ve internete bağlı herhangi bir Zyxel cihazının CVE-2023-28771 için gerekli güvenlik yamalarına sahip olup olmadığının kontrol edilmesi önerilir.
Cihaz sahipleri ayrıca bir exploit girişiminden sonra herhangi bir olağandışı aktiviteye karşı dikkatli olmalıdır, çünkü bu daha fazla tehlikeye yol açabilir veya cihazın bir botnet'e eklenmesine neden olabilir. Son olarak, ağ filtreleri uygulayarak IKE/UDP port 500'ün gereksiz yere açığa çıkmasını sınırlamanız önerilir.
Zyxel cihazlarının geçmişte güvenlik zorluklarıyla karşılaştığını belirtmek önemlidir. Örneğin, Hackread.com Haziran 2024'te Zyxel NAS cihazlarının farklı bir yeni güvenlik açığını (CVE-2024-29973) kullanan Mirai benzeri bir botnet tarafından hedef alındığını bildirerek şirketin ürünleri için tekrar eden bir sorun örüntüsünü vurguladı.
"Bu, 31 Mayıs 2023'te CISA Bilinen İstismar Edilen Güvenlik Açıkları listesine eklendi ve kurumların aynı yılın 21 Haziran'ından önce bunu çözmesini gerektirdi. Gözlemlenen aktivitenin Mirai botnet aktivitesi olduğu anlaşılıyor," dedi siber güvenlik şirketi Outpost24'te CISO olan Martin Jartelius .
Martin, "Bu güvenlik açığı daha önce de yoğun bir şekilde hedef alınmıştı, şimdi birinin kurban olabilmesi için güvenlik açığı bulunan bir cihaz edinmesi, güncellemeler olmadan dağıtması ve bilinen bir güvenlik açığı durumunda olmasına rağmen internete açması gerekirdi" şeklinde açıkladı.
"Bu noktada kurban edilmesi gereken yetersizlik zincirinin neredeyse etkileyici olduğunu söyleyebiliriz, ancak elbette bu olabilir. Ancak bu, bugün uyanıp endişelenmemiz gereken bir zaaf değil. Aslında, endişeleniyor olsaydınız, yıllar önce düzeltmiş olurdunuz."
HackRead
