Bir Akamai gönderisine göre, daha önce üreticileri ve genel olarak güvenlik araştırma topluluğu tarafından bilinmeyen her iki güvenlik açığı da, etkilenen cihazlar varsayılan yönetim kimlik bilgilerini kullandığında kötü amaçlı kodun uzaktan yürütülmesine izin veriyor.
Bilinmeyen saldırganlar, cihazları tehlikeye atmak için Sıfır Gün’den yararlanıyor; böylece yönlendiricileri, kameraları ve diğer Nesnelerin İnterneti cihazlarını daha önce hayal bile edilemeyecek boyutlarda DDoS’leri taşıyabilen bir botnet’in parçası yapan güçlü bir açık kaynaklı yazılım parçası olan Mirai ile enfekte olabiliyorlar.
Akamai araştırmacıları, saldırı altındaki Sıfır Gün’lerden birinin bir veya daha fazla ağ video kaydedici modelinde olduğunu söyledi. Diğer Sıfır Gün, “oteller ve konut uygulamaları için yapılmış çıkış tabanlı kablosuz LAN yönlendiricisinde” bulunuyor. Yönlendirici, “birden fazla anahtar ve yönlendirici üreten” Japonya merkezli bir üretici tarafından satılmakta. İstismar edilen yönlendirici özelliği “çok yaygın bir özellik” ve araştırmacılar, üretici tarafından satılan birden fazla yönlendirici modelinde istismar edilme olasılığını göz ardı edemezler.
Akamai, güvenlik açıklarını her iki üreticiye de bildirdiğini ve bunlardan birinin güvenlik yamalarının önümüzdeki ay yayınlanacağına dair güvence sağladığını söyledi. Akamai, sıfır günlerin daha yaygın şekilde kullanılmasını önlemek için düzeltmeler yapılana kadar belirli cihazları veya üreticileri tanımlamadığını söyledi.
“Bu bilgi sınırlı olsa da, bu CVE’lerin vahşi doğada devam eden sömürülmesi konusunda topluluğu uyarmanın bizim sorumluluğumuz olduğunu hissettik. Savunuculara yardım etmek için sorumlu bir şekilde bilgi ifşa etmek ile tehdit aktörleri orduları tarafından daha fazla istismarı sağlayabilecek bilgileri aşırı paylaşmak arasında ince bir çizgi var.”
Akamai gönderisi, saldırılarda kullanılan bir dizi dosya karma ve IP ve etki alanı adresi sağlar. Ağ video kamera ve yönlendirici sahipleri, ağlarındaki cihazların hedef alınıp alınmadığını görmek için bu bilgileri kullanabilir.
Uzak kod yürütme, önce bir saldırganın savunmasız cihazda yapılandırılmış kimlik bilgilerini kullanarak kimliğini doğrulamasını gerektiren komut enjeksiyonu olarak bilinen bir teknik kullanıyor. Kimlik doğrulama ve enjeksiyon, standart bir POST isteği kullanılarak gerçekleştiriliyor.
Her iki üreticinin de bilgilendirildiğini, ancak bunlardan sadece birinin şu ana kadar önümüzdeki ay beklenen bir yama yayınlamayı taahhüt ettiğini söyledi. İkinci üreticiden gelen bir düzeltmenin durumu şu anda bilinmiyor.
Cashdollar, eksik bir İnternet taramasının en az 7.000 savunmasız cihaz olduğunu gösterdiğini söyledi. Etkilenen cihazların gerçek sayısı daha yüksek olabilir.
Mirai ilk olarak 2016’da, düşman bir tehdit aktörünün kontrolü altındaki güvenliği ihlal edilmiş cihazlar ağı anlamına gelen bir botnetin, o zamanlar rekor kıran 620 gigabit/saniye DDoS olan güvenlik haber sitesi KrebsOnSecurity’yi devirmesiyle kamuoyunun dikkatini çekti.
Muazzam ateş gücünün yanı sıra, Mirai başka nedenlerle de öne çıktı. Birincisi, komuta ettiği cihazlar, bundan önce büyük ölçüde görülmemiş olan bir yönlendiriciler, güvenlik kameraları ve diğer IoT cihazları türlerinden oluşan bir topluluktu. Ve bir diğeri için, temel kaynak kodu hızla serbestçe kullanılabilir hale geldi. Kısa süre sonra Mirai, oyun platformlarını ve onlara hizmet veren ISS’leri hedef alan daha da büyük DDoS’larda kullanılıyordu. Mirai ve diğer IoT botnet’leri o zamandan beri İnternet hayatının bir gerçeği oldu.
Akamai tarafından keşfedilen saldırılarda kullanılan Mirai türü, öncelikle JenX olarak bilinen daha eski bir seçenek. Bununla birlikte, komut ve kontrol sunucularına bağlanmak için normalden çok daha az alan adı kullanacak şekilde değiştirilmiş. Bazı kötü amaçlı yazılım örnekleri, hailBot olarak bilinen ayrı bir Mirai varyantına da bağlar gösteriyor.
Akamail tarafından gözlemlenen sıfırıncı gün saldırılarında kullanılan kod, Çin merkezli bir güvenlik firmasının Mayıs ayında bir Rus haber web sitesini hedef aldığını gözlemlediği DDoS saldırılarında kullanılan kodla neredeyse aynı.
Bu istismarlarla hedef alınma olasılığıyla ilgilenen kişiler veya kuruluşlar, saldırıları tespit etmek ve püskürtmek için Akamail tarafından yayınlanan Snort kurallarını ve uzlaşma göstergelerini kullanabilir. Şu anda, savunmasız olan belirli cihazları veya bu cihazların üreticilerini tanımlamanın bir yolu yok.
