Resim: Midjourney
Saldırganlar artık çevrimiçi olarak maruz kalan ve kritik bir uzaktan kod yürütme (RCE) sıfır gün kusuruna karşı açılan 92.000'den fazla ömür sonu D-Link ağ ekli depolama (NAS) cihazını aktif olarak hedefliyor.
BleepingComputer'ın ilk olarak Cumartesi günü bildirdiği gibi, bu güvenlik açığı (CVE-2024-3273), "sistem" parametresi aracılığıyla sert kodlanmış bir hesap (boş bir şifre ile "MessageBus" ve komut enjeksiyon sorunu aracılığıyla kolaylaştırılan bir arka kapı sonucudur.
Tehdit aktörleri şimdi Mirai kötü amaçlı yazılımların bir varyantını dağıtmak için bu iki güvenlik kusurunu zincirliyor (skid.x86). Mirai varyantları genellikle büyük ölçekli dağıtılmış hizmet reddi (DDOS) saldırılarında kullanılabilen bir botnet'e enfekte cihazlar eklemek için tasarlanmıştır.
Bu saldırılar Pazartesi günü başladı, siber güvenlik firması Greynoise ve tehdit izleme platformu Shadowserver tarafından gözlemlendiği gibi başladı. İki hafta önce, güvenlik araştırmacısı Netsecfish, D-Link'in bu yaşam sonu cihazlarının yamalanmayacağını bildirdikten sonra güvenlik açığını açıkladı.
NetSecfish, "Açıklanan güvenlik açığı, DNS-340L, DNS-320L, DNS-327L ve DNS-325 modelleri dahil olmak üzere çoklu D-link NAS cihazlarını etkiler."
"Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın sistemde keyfi komutlar yürütmesine izin verebilir, bu da potansiyel olarak hassas bilgilere yetkisiz erişime, sistem yapılandırmalarının değiştirilmesine veya hizmet koşullarının reddedilmesine yol açabilir."
Güvenlik güncellemelerinin bu sıfır günlük güvenlik açığını yamalamak için yayınlanıp yayınlanmayacağı sorulduğunda D-Link, BleepingComputer'a artık bu ömür sonu (EOL) NAS cihazlarını desteklemediklerini söyledi.
Bir D-Linkspokesperson, BleepingComputer'a verdiği demeçte, "Tüm D-Link Network ekli depolama, uzun yıllardır yaşamın sonu ve hizmet ömrü olmuştur [ve] bu ürünlerle ilişkili kaynaklar gelişimlerini durdurdu ve artık desteklenmiyor." Dedi.
"D-Link, bu ürünleri emekliye ayırmayı ve bunların ürün yazılımı güncellemeleri alan ürünlerle değiştirilmesini önerir."
Sözcü, bu NAS cihazlarının otomatik çevrimiçi güncelleme veya tanıtım özelliklerine sahip olmadığını ve bu devam eden saldırıların sahiplerini bilgilendirmeyi imkansız hale getirdiğini de sözlerine ekledi.
Açıklamadan sonra D-Link, sahiplerine güvenlik açığı hakkında bilgi vermek ve etkilenen cihazları mümkün olan en kısa sürede emekli olmalarını veya değiştirmelerini tavsiye etmek için Perşembe günü bir güvenlik danışmanlığı yayınladı.
Ayrıca, Legacy Destek web sitesi aracılığıyla sunulan en son güvenlik ve ürün yazılımı güncellemelerini uygulamak için eski cihazlar, uyarı sahipleri için bir destek sayfası oluşturdu, ancak bu da cihazlarını saldırganlardan korumuyor.
D-Link, "ABD tüketicileri bu cihazları D-Link'in tavsiyesine göre kullanmaya devam ediyorsa, lütfen cihazın son bilinen ürün yazılımına sahip olduğundan emin olun."
D-Link'in söylemediği şey, veri çalmak veya şifrelemek için fidye yazılımı saldırılarında yaygın olarak hedeflendikleri için NAS cihazlarının çevrimiçi olarak maruz kalmaması gerektiğidir.
Son aylarda, diğer D-link cihazları (bazıları da yaşam sonu) birkaç Mirai tabanlı DDOS botnet (bunlardan biri IZ1H9 olarak izlendi) tarafından hedef alınmıştır. Sahipleri sürekli olarak yeteneklerini genişletmek, saldırı için yeni istismarlar ve hedefler eklemek için çalışıyorlar.
92.000'den fazla açık D-Link NAS cihazının bir arka kapı hesabı var
CISA Etiketleri Microsoft SharePoint RCE Hata Aktif olarak sömürüldüğü gibi
Saldırılarda kullanılan Fortinet RCE Bug için piyasaya sürülen istismar, şimdi Patch
Bilgisayar korsanları tuğlalarda kritik RCE kusurundan yararlanıyor WordPress site Builder
Yeni kritik Microsoft Outlook RCE Hatası, sömürmek için önemsizdir
Kaynak: Bleeping Computer