RondoDox adı verilen yeni, büyük ölçekli bir botnet, ilk kez Pwn2Own bilgisayar korsanlığı yarışmaları sırasında açıklanan kusurlar da dahil olmak üzere 30'dan fazla farklı cihazdaki 56 güvenlik açığını hedefliyor.
Saldırgan, DVR'ler, NVR'ler, CCTV sistemleri ve web sunucuları da dahil olmak üzere çok çeşitli açıkta kalan cihazlara odaklanıyor ve Haziran ayından bu yana aktif durumda.
RondoDox botnet, Trend Micro araştırmacılarının "istismar av tüfeği" stratejisi olarak adlandırdığı, etkinlik çok gürültülü olsa bile enfeksiyonları en üst düzeye çıkarmak için çok sayıda açıktan yararlanmanın aynı anda kullanıldığı stratejiden yararlanıyor.
FortiGuard Labs, RondoDox'u keşfettiğinden beri botnet'in, CVE-2024-3721 ve CVE-2024-12856'yı da içeren, istismar edilen güvenlik açıklarının listesini genişlettiği görülüyor.
Trend Micro bugün yayınladığı bir raporda, RondoDox'un, ilk olarak Pwn2Own Toronto 2022'de gösterilen TP-Link Archer AX21 Wi-Fi yönlendiricisindeki bir kusur olan CVE-2023-1389'dan yararlandığını söylüyor.
Pwn2Own, Trend Micro'nun Sıfır Gün Girişimi (ZDI) tarafından yılda iki kez düzenlenen ve beyaz şapkalı ekiplerin yaygın olarak kullanılan ürünlerdeki sıfır gün güvenlik açıklarına yönelik istismarları gösterdiği bir bilgisayar korsanlığı yarışmasıdır.
Güvenlik araştırmacıları, botnet geliştiricisinin Pwn2Own etkinlikleri sırasında gösterilen istismarlara çok dikkat ettiğini ve Mirai'nin 2023'te CVE-2023-1389 ile yaptığı gibi bunları hızla silah haline getirdiğini belirtiyor.
Aşağıda, RondoDox'un cephaneliğine dahil ettiği 2023 sonrası gün kusurlarının bir listesi bulunmaktadır:
Özellikle kullanım ömrünün sonuna ulaşmış cihazlardaki eski kusurlar, yama yapılmadan kalma olasılıkları daha yüksek olduğundan önemli bir risk oluşturur. Desteklenen donanımlardaki daha yeni sürümler de aynı derecede tehlikelidir; çünkü çoğu kullanıcı, aygıtları kurduktan sonra aygıt yazılımı güncellemelerini göz ardı etme eğilimindedir.
Trend Micro ayrıca RondoDox'un, bir güvenlik açığı kimliği (CVE) atanmamış 18 komut ekleme hatasına yönelik açıklardan yararlandığını da tespit etti. D-Link NAS birimlerini, TVT ve LILIN DVR'leri, Fiberhome, ASMAX ve Linksys yönlendiricilerini, Brickcom kameralarını ve diğer tanımlanamayan uç noktaları etkilerler.
RondoDox ve diğer botnet saldırılarına karşı koruma sağlamak için cihazınız için mevcut en son donanım yazılımı güncellemelerini uygulayın ve EoL ekipmanını değiştirin. Ayrıca, kritik verileri internete yönelik IoT'lerden veya konuk bağlantılarından yalıtmak için ağınızı bölümlere ayırmanız ve varsayılan kimlik bilgilerini güvenli parolalarla değiştirmeniz önerilir.
İhlal ve Saldırı Simülasyon Zirvesine katılın ve güvenlik doğrulamanın geleceğini deneyimleyin. En iyi uzmanlardan bilgi alın ve yapay zeka destekli BAS'ın ihlal ve saldırı simülasyonunu nasıl dönüştürdüğünü görün.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın
Bilgisayar korsanları Gladinet dosya paylaşım yazılımında sıfır günü istismar ediyor
Bilgisayar korsanları Service Finder WordPress temasında kimlik doğrulama bypassından yararlanıyor
Redis, binlerce örneği etkileyen kritik kusur konusunda uyardı
Steam ve Microsoft, oyuncuları saldırılara maruz bırakan Unity kusuru konusunda uyardı
Bilgisayar korsanları, iCalendar dosyalarını kullanarak Zimbra kusurunu sıfır gün olarak kullandı
Kaynak: Bleeping Computer