Yeni Botnet Tehditi: NadMesh
NadMesh adlı Go tabanlı bir botnet, Temmuz ayının başlarında açıkta kalan yapay zeka hizmetlerini hedef almak amacıyla ortaya çıktı. Bu botnetin operatörüne ait olan kontrol paneline göre, şu ana kadar 3,811 özgün AWS anahtarı ele geçirildiği iddia ediliyor.
Saldırı Nasıl Çalışıyor?
NadMesh, Shodan tarayıcıları kullanarak ComfyUI, Ollama, n8n, Open WebUI, Langflow ve Gradio gibi hizmetleri taramaya devam ediyor. Bu hizmetler, kullanıcıların hızla kurulum yapabilmesi için sundukları görüntü oluşturma, yerel model çalıştırma ve iş akışı oluşturma yetenekleri ile önemli bir tehdit oluşturuyor. Elde edilen bilgilerden yola çıkarak botlar, özellikle aşağıdaki bileşenleri hedef alıyor:
- Açık Docker API’leri (port 2375)
- Jenkins script konsolu
- Kimlik doğrulaması yapılmamış Redis
- Zayıf Telnet ve SSH şifreleri
Araştırmacılar, NadMesh’in operatörlerinin asıl amacının cloud credentials ve Kubernetes küme yetkileri olduğunu belirtiyor. Botnetin hedeflediği iki önemli özellik ise model erişimi ve çağrılabilir MCP araçlarıdır.
Etkilenen Sistemler
Botnetin hedeflediği sistemlere dair istatistikler de oldukça çarpıcı. XLab tarafından sağlanan verilere göre, NadMesh’in kontrol panelinde 17,700 toplam dağıtım ve son 24 saatte 95,700 dağıtım yapıldığı kaydedilmiştir. Bunun yanı sıra, 12,100 MCP servisi, botnetin potansiyel olarak istismar edilebilir olarak listelenmiştir. Durum böyleyken, CVE ve zafiyetlerle ilgili bilgiler ise oldukça karışık bir tablo çiziyor.
CVE-2026-39987: 0.23.0 öncesi Marimo not defterlerindeki ön kimlik doğrulama bağlı uzaktan kod çalıştırma zafiyeti.
CVE-2026-41176: Kimlik doğrulaması yapılmamış çağrılarla rclone RC sunucularının yetkilendirilme durumunu değiştiriren zafiyet.
CVE-2022-22947 ve CVE-2017-12611: Belirli koşullar altında çalışan eski zafiyetler.
Bu ve benzeri zafiyetler, sistem yöneticilerini hemen harekete geçirmelidir.
Çözüm ve Korunma
Eğer NadMesh’in hedeflerinden biri iseniz, aşağıdaki önlemleri almanız kritik önem taşıyor:
- Hizmetlerinizi kimlik doğrulama ile koruyun.
- Açık API’leri ve zayıf parolaları en kısa sürede güçlendirin.
- Risk altında olabilecek sistemlerinizi kapatın veya güvenlik duvarlarıyla donatın.
- Ağınızdaki tüm SSH anahtarları ve bulut kimlik bilgilerini gözden geçirin.
Botnet, ortam değişkenlerinden, Kubernetes hizmet hesabı token’larından ve birçok konfigürasyon dosyasından bulut anahtarlarını toplamakta. Bu sebeple, güvenlik eksikliklerinizi giderene dek sistemlerinizi dışa kapatmanız önemlidir.
Son olarak, güvenlik önlemlerini daima güncel tutun. Örneğin, şu anki açıkları kapatacak güncellemeleri yüklemeyi unutmayın ve potansiyel tehlikelerden korunmak için ağ izleme araçları kullanın.


