Beastmode (diğer adıyla B3astmode) olarak izlenen Mirai tabanlı bir dağıtılmış hizmet reddi (DDoS) botnet, açıklardan yararlanmalar listesini, üçü çeşitli Totolink yönlendirici modellerini hedef alan birkaç yeni açık içerecek şekilde güncelledi.
Totolink, Zioncom’a ait popüler bir elektronik alt markasıdır ve yakın zamanda üç kritik önemdeki güvenlik açığını gidermek için ürün yazılımı güncellemeleri yayınlamıştır.
DDoS botnet yazarları hiç vakit kaybetmeden Totolink yönlendirici sahipleri güvenlik güncellemelerini uygulamadan önce fırsat penceresinden yararlanmak için bu kusurları cephanelerine eklediler.
Beastmode, savunmasız yönlendiricilerin kontrolünü ele alarak, DDoS saldırılarını başlatmasına izin veren donanım kaynaklarına erişim sağlar.
Botnet operatörleri ya DDoS hizmetleri satarak ya da firmalara karşı saldırılar düzenleyerek ve durdurulması için fidye isteyerek para kazanıyor.
Güvenlik açıkları ve etki
Fortinet araştırmacıları analiz edildi Beastmode’un yeni bir sürümü, Totolink cihazlarını hedeflemek için kullanılabilecek aşağıdaki yeni kusurları ekledi:
- CVE-2022-26210 – Komut yerleştirme güvenlik açığı, saldırganların özel hazırlanmış bir istek aracılığıyla rastgele komutlar yürütmesine olanak sağladı. Totolink A800R, A810R, A830R, A950RG, A3000RU ve A3100R’yi etkiler.
- CVE-2022-26186 – Totolink N600R ve A7100RU’yu etkileyen, cstecgi.cgi adresindeki export0vpn arabirimi aracılığıyla komut ekleme güvenlik açığı.
- CVE-2022-25075 25084’e kadar – Uzak saldırganların QUERY_STRING parametresi aracılığıyla rastgele komutlar yürütmesine izin veren bir dizi kritik önemdeki kusur. Totolink A810R, A830R, A860R, A950RG, A3100R, A3600R, T6 ve T10 yönlendiricileri etkiler.
Yukarıdaki güvenlik açıkları, Beastmode botnet’e yapılan tek eklemeler değildi, ancak yazarları aşağıdaki eski hataları da ekledi:
- CVE-2021-45382 – D-Link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L ve DIR-836L’yi etkileyen uzaktan kod yürütme hatası.
- CVE-2021-4045 – TP-Link Tapo C200 IP kamerayı etkileyen kimliği doğrulanmamış uzaktan kod yürütme hatası.
- CVE-2017-17215 – Huawei HG532’yi etkileyen kimliği doğrulanmamış uzaktan kod yürütme hatası
- CVE-2016-5674 – Netgear ReadyNAS ürün serisini etkileyen günlük parametresi aracılığıyla uzaktan isteğe bağlı PHP kodu yürütme.
Yukarıdaki kusurların tümü kritik olarak derecelendirilmiştir (CVSS v3 puanı 9,8) ve bu, tehdit aktörlerinin cihazın tam kontrolünü ele geçirmesini sağlar.
Bu gerçekleştiğinde, kötü amaçlı yazılım, yakalanan cihazı botnet’e kaydeden ve onu çeşitli DDoS saldırı türleri için ayarlayan bir kabuk komut dosyası indirir.
Botnet’lerden güvende kalın
Mirai türevlerinin yönlendiricinizin veya IoT cihazlarınızın kontrolünü ele geçirmesini önlemek için yukarıda belirtilen güvenlik açıklarını gideren mevcut güvenlik güncellemelerini uyguladığınızdan emin olun.
Totolink için satıcıları ziyaret edin İndirme Merkezicihaz modelinizi seçin ve mevcut en son üretici yazılımı sürümünü indirip yükleyin.
Yönlendiricinizin güvenliğinin ihlal edildiğini gösterebilecek işaretlerden biri, yavaş bir internet bağlantısıdır. Normal bir kullanıcının gözden kaçırabileceği ek ipuçları arasında cihazın normalden daha fazla ısınması, yönetim panelinde oturum açamama, ayarların değiştirilmesi veya yanıt vermeyen bir cihaz sayılabilir.
Ağ aygıtınızın güvenliğinin ihlal edildiğinden şüpheleniyorsanız, bilgisayar korsanlarını kovabilecek bir yöntem, onu manuel olarak sıfırlamak, farklı, daha güçlü bir parolayla yapılandırmak ve satıcının en son güvenlik güncellemelerini yüklemektir.