Giriş
Son dönemlerde, TBK DVR ve kullanımı sona ermiş TP-Link Wi-Fi yönlendiricilerindeki güvenlik açıkları kötü niyetli aktörler tarafından kullanılarak Mirai botnet varyantlarının yayılmasına zemin hazırlamaktadır. Bu olay, IoT cihazlarının güvenliğinin önemini bir kez daha gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Güvenlik araştırmaları, TBK DVR cihazlarını hedef alan bir saldırının CVE-2024-3721 koduna sahip bir komut enjekte etme açığını kullanarak gerçekleştiğini ortaya koymuştur. Bu açık, TBK DVR-4104 ve DVR-4216 dijital video kayıt cihazlarında mevcut olup, CVSS puanı 6.3 seviyesindedir. Saldırı, bu açıktan yararlanarak bir Mirai varyantı olan Nexcorium‘u hedef cihazlara göndermektedir.
Güvenlik araştırmacısı Vincent Li, “IoT cihazları, yaygın kullanımları, yamanmamasından dolayı ve çoğu zaman zayıf güvenlik ayarları nedeniyle büyük ölçekli saldırılar için artan öncelik taşımaktadır,” demektedir. Saldırganlar, bilinen güvenlik açıklarını istismar ederek malware yüklemekte ve bu malware’lerin yaygın şekilde DDoS (Dağıtık Hizmet Reddi) saldırıları gerçekleştirmesine olanak sağlamaktadır.
Etkilenen Sistemler
Saldırı ile ilgili detaylar, bu güvenlik açığının daha önceki yıllarda da istismar edildiğini göstermektedir. Son 1 yıl içinde bu açık aracılığıyla Mirai varyantının yanı sıra, RondoDox adlı yeni bir botnet de dağıtılmıştır. Özellikle, bu açık ile RondoDox, Mirai ve Morte payload’larını zayıf kimlik doğrulama bilgileri ve eski güvenlik açıkları üzerinden yaydığı tespit edilmiştir.
Etkilenen TP-Link modelleri şunlardır:
- TL-WR940N v2 ve v4
- TL-WR740N v1 ve v2
- TL-WR841N v8 ve v10
Çözüm ve Korunma
Saldırının işleyişi, CVE-2024-3721 üzerinden bir downloader scriptinin elde edilip çalıştırılmasıyla başlar. Malware, Telnet bağlantısı aracılığıyla hedef cihazlardaki zayıf kullanıcı adı ve şifreleri kullanarak sisteme erişim elde etmeye çalışır. Eğer giriş başarılı olursa, sistemde kalıcılık sağlamak için çeşitli yöntemler (crontab ve systemd servisleri) kurmaktadır. Malware, ayrıca başarılı bir şekilde çalıştığında gelen talimatlarla DDoS saldırıları gerçekleştirmek için dış bir sunucuya bağlanmayı beklemektedir.
Nexcorium, modern IoT odaklı botnetlerin tipik özelliklerini taşımaktadır; bilinen açıklardan yararlanmakta, birden fazla mimaride çalışmakta ve uzun süreli erişim sağlamak için çeşitli kalıcılık yöntemlerini kullanmaktadır.
Aksiyon
Etkilenen cihazların kullanıcıları, mümkünse cihazlarını daha yeni, desteklenen modeller ile değiştirmelidir. Ayrıca, varsayılan kimlik bilgilerini kullanmamaları ve cihazlarını düzenli olarak güncellemeleri önem taşımaktadır. Kullanıcılar; sistemlerine herhangi bir risk oluşturabilecek zayıf şifreleri değiştirerek, güvenliklerini artırabilir ve bu tür saldırılara karşı daha dayanıklı hale gelebilir.
