Nisan 2023’te gün yüzüne çıkan ve Zyxel cihazlarını etkileyen kritik bir açık, dağıtık hizmet reddi saldırısı (DDoS) botnetleri tarafından uzaktan yönetim amacıyla kullanılıyor.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Sömürü trafiğinin yakalanmasıyla saldırganın IP adresi tespit edildi ve saldırıların Orta Amerika, Kuzey Amerika, Doğu Asya ve Güney Asya’da gerçekleştiği belirlendi” dedi.
CVE-2023-28771 olarak izlenen bu açık (CVSS puanı: 9.8), birden fazla güvenlik duvarı modelini etkileyen bir komut enjeksiyon hatasıdır ve hedef cihaza özel olarak oluşturulmuş bir paket göndererek yetkisiz kişinin keyfi kod yürütmesine olanak tanıyabilir.
Geçen ay, Shadowserver Foundation, bu açığın en azından 26 Mayıs 2023’ten beri “Mirai benzeri bir botnet oluşturmak için aktif olarak sömürüldüğünü” uyarısı yapmıştı, bu da yamalanmamış yazılım çalıştıran sunucuların kötüye kullanımının artmakta olduğunun bir göstergesi
Fortinet’in en son bulgularına göre, bu zafiyet birden fazla saldırgan tarafından kısmi bir fırsatçı yaklaşımla kullanılıyor; savunmasız ana bilgisayarları ele geçirerek ve DDoS saldırıları yapabilen bir botnet oluşturuyorlar.
Bu botnetler arasında Dark.IoT gibi Mirai botnet varyasyonları ve yazarı tarafından Katana olarak adlandırılan başka bir botnet yer alıyor; bu botnet TCP ve UDP protokollerini kullanarak DDoS saldırıları düzenleme yeteneğine sahip.
Lin, “Bu kampanyanın saldırıları başlatmak için birden fazla sunucu kullandığı ve kendisini Zyxel cihazların etkilenmesini en üst düzeye çıkarmak için kısa sürede güncellediği görünüyor” dedi.
Bu açığın açığa çıkması, Cloudflare’ın 2023 yılının ikinci çeyreğinde DDoS saldırılarının “alarm verici bir şekilde karmaşıklaştığını” bildirmesinden hemen sonra geldi. Tehdit aktörleri, “tarayıcı davranışlarını ustalıkla taklit ederek” tespit edilmeyi önlemek ve saniye başına saldırı oranlarını göreceli olarak düşük tutmak için yeni yollar geliştirmektedir.
Ayrıca, kötü niyetli trafiği saygın döngüsel DNS çözümleyicileri aracılığıyla gizlemek ve hiper-volümetrik DDoS saldırıları düzenlemek için sanal makine botnetlerinin kullanılması, işleri daha da karmaşık hale getirmektedir.
“DNS Yıkama saldırısında, tehdit aktörü, kurbanın DNS sunucusu tarafından yönetilen bir alanın alt alanlarını sorgular” diye açıklıyor Cloudflare. “Alt alanı tanımlayan ön ek rastgele seçilir ve bu tür bir saldırıda bir veya iki defadan fazla kullanılmaz.”
“Rastgeleleştirme unsuru nedeniyle, döngüsel DNS sunucularının önbellekte yanıtı olmaz ve sorguyu kurbanın yetkili DNS sunucusuna iletmek zorunda kalırlar. Yetkili DNS sunucusu, o kadar çok sorgu ile bombardımana tutulur ki meşru sorguları sunamaz veya tamamen çöker.”
DDoS saldırılarının artmasında etkili diğer bir faktör de KillNet, REvil ve Anonymous Sudan (aka Storm-1359) gibi pro-Rus hacktivist grupların ortaya çıkmasıdır. Bu gruplar genellikle ABD ve Avrupa’daki hedeflere odaklanmaktadır. REvil, yaygın olarak bilinen bir fidye yazılımı grubuyla bağlantı bulunmamaktadır.
Mandiant’ın yaptığı yeni bir analize göre, KillNet’in “düzenli olarak yeni gruplar oluşturup bunları kendi işlemlerinin bir parçası olarak Batı medyasından dikkat çekme ve etki alanını artırma çabaları olduğu gözlemlenmektedir.” Grubun hedefleri, “sürekli olarak belirlenmiş ve yeni çıkan Rus jeopolitik önceliklerine uyum sağlamıştır.”Windows Güvenliği: Bilgisayarınızı Tehditlere Karşı Nasıl Koruyabilirsiniz?
Windows, MacOS ve Linux için Chrome 115 Güncellemesi – Yamalı 20 Güvenlik Açıkları