Yeni Mirai Tabanlı Malware Tehditi
Son dönemde, D-Link DIR-823X yönlendiricilerini etkileyen CVE-2025-29635 kodlu yüksek şiddetli komut enjeksiyonu güvenlik açığı, aktif bir Mirai tabanlı malware kampanyası tarafından istismar edilmektedir. Bu durum, cihazları botnet’e katmak için önemli bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
CVE-2025-29635, bir saldırganın zayıf bir uç noktaya POST talebi göndererek uzaktaki cihazlarda rastgele komutlar çalıştırmasına olanak tanır. Bu süreçte, Akamai’nin Güvenlik Olayı Müdahale Ekibi (SIRT), Mart 2026’da bu kampanyayı tespit etmiştir. Açık, 13 ay önce güvenlik araştırmacıları Wang Jinshuai ve Zhao Jiangting tarafından duyurulmasına rağmen, istismarın ilk kez “in-the-wild” gözlemlenmesi dikkat çekmektedir.
Etkilenen Sistemler
Bu güvenlik açığı, D-Link DIR-823X serisi yönlendiricilerinin aşağıdaki firmware sürümlerinde bulunmaktadır:
- 240126
- 24082
Akamai’nin raporuna göre, yetkilendirilmiş bir saldırgan, “/goform/set_prohibiting” uç noktasına POST isteği göndererek uzaktaki cihazlarda rasgele komutlar çalıştırabilir.
Gözlemlenen Aktiviteler
Saldırganlar, çeşitli yazılabilir dizinlerde yön değiştiren, harici bir IP’den bir shell script (dlink.sh) indiren ve bunu çalıştıran POST istekleri göndermektedir. Bu script, Mirai tabanlı “tuxnokill” malware’ini kurmaktadır ve çoklu mimarileri desteklemektedir.
Bu malware, Mirai’nin standart dağıtılmış hizmet reddi (DDoS) saldırı repertuarını içermekte olup:
- TCP SYN/ACK/STOMP
- UDP akınları
- HTTP null
Akamai, bu kampanyanın arkasındaki tehdit aktörlerinin ayrıca CVE-2023-1389 kodlu güvenlik açığını, TP-Link yönlendiricilerini etkileyen, ve ZTE ZXV10 H108L yönlendiricilerindeki ayrı bir RCE açığını istismar ettiğini belirlemiştir. Tüm bu sistemlerde benzer saldırı kalıpları gözlemlenmiştir.
Çözüm ve Korunma
Etkilenen cihazların 2024 Kasım ayında son kullanma tarihine ulaşmış olduğundan, mevcut firmware’in CVE-2025-29635’i düzeltip düzeltmediği muhtemelen sağlanmamaktadır. D-Link, aktif istismar tespit edildiğinde düzeltme güncellemesi sağlamadığından, cihaz için düzeltme sağlanması pek olası değildir.
Kullanıcılara öneriler:
- Yeni ve sürekli desteklenen bir model ile güncelleme yapmak.
- Uzak yönetim portlarını devre dışı bırakmak, gerekmedikçe kullanmamak.
- Varsayılan yönetici şifrelerini değiştirmek.
- Beklenmedik yapılandırma değişikliklerini izlemek.
Bu adımları takip ederek, cihazlarınızın güvenliğini sağlayabilirsiniz.
