‘Moobot’ adlı Mirai tabanlı bir botnet, birçok Hikvision ürününün web sunucusundaki kritik bir komut enjeksiyon kusurundan yararlanarak agresif bir şekilde yayılıyor.
Hikvision, ABD hükümetinin insan hakları ihlalleri nedeniyle yaptırım uyguladığı devlet çinli gözetim kameraları ve ekipmanları üreticisidir.
Bu güvenlik açığı CVE-2021-36260 olarak izlenir ve kötü amaçlı komutlar içeren özel hazırlanmış iletiler gönderilerek uzaktan kullanılabilir.
Hikvision kusuru düzeltti Eylül 2021’de bir bellenim güncelleştirmesi (v 210628) ile, ancak tüm kullanıcılar güvenlik güncelleştirmesini uygulamak için acele etmedi.
Fortinet, Moobot’un düzeltme eki yüklenmemiş cihazları tehlikeye atmak ve kurbanlardan hassas veriler çıkarmak için bu kusurdan yararlandığını bildiriyor.
Enfeksiyon süreci
Kusurun kullanımı, kimlik doğrulaması gerektirmediği ve herkese açık savunmasız bir cihaza bir mesaj göndererek tetiklenebileceği göz önüne alındığında oldukça basittir.
Kaldıraç sağlayan çeşitli yükler arasında ÖZGEÇMIŞ-2021-36260, Fortinet, Moobot’u “hikivision” parametresiyle getiren ve yürüten “macHelper” olarak maskelenmiş bir indirici buldu.
Kötü amaçlı yazılım ayrıca “yeniden başlatma” gibi temel komutları düzgün çalışmayacak şekilde değiştirir ve yöneticinin güvenliği ihlal edilen cihazı yeniden başlatmasını önler.
Mirai’nin yeni bir dönüşü
Fortinet’in analistleri Moobot ve Mirai arasında rastgele alfasayısal dize oluşturucu işlevinde kullanılan veri dizesi gibi ortak noktalar tespit ettiniz.
Ayrıca, Moobot, yazarı tutuklanan farklı bir Mirai varyantı olan Satori’den bazı unsurlara sahiptir ve 2020 yazında ceza aldı.
Satori ile benzerlikler şunlardır:
- Ayrı bir indirici kullanma.
- “/usr/sbin*” işleminin çatalı.
- Moobot yürütülebilir dosyasıyla meşru “macHelper” dosyasının üzerine yazma.
Bunun Moobot’un vahşi doğada ilk kez görülmediğinin altını çizmek önemlidir, araştırmacılar gibi Birim 42 ilk keşfetti. Şubat 2021’de.
Bununla birlikte, botnet’in hala yeni CVE’ler ekliyor olması, aktif olarak geliştirildiğini ve yeni hedefleme potansiyeli ile zenginleştiğini göstermektedir.
Sizi bir DDoS ordusuna kaydettiriyor
Moobot’un amacı, güvenliği ihlal edilmiş cihazı bir DDoS sürüsüne dahil etmektir.
C2, saldırmak için hedef IP adresi ve bağlantı noktası numarasıyla birlikte bir SYN taşma komutu gönderir.
C2 sunucusunun gönderebileceği diğer komutlar arasında UDP taşatı için 0x06, ACK taşanı için 0x04 ve ACK+PUSH flood için 0x05 bulunur.
Ele geçirilen paket verilerine bakarak Fortinet, geçen Ağustos ayında DDoS hizmetleri sunmaya başlayan bir Telegram kanalını takip edebilir.
Cihazınızın DDoS sürülerinde kayıtlı olması, enerji tüketiminin artmasına, aşınmanın artmasına ve cihazın yanıt vermemesine neden olur.
IoT cihazlarınızı botnet’lerden korumanın en iyi yolu, kullanılabilir güvenlik güncelleştirmelerini mümkün olan en kısa sürede uygulamak, bunları özel bir ağda yalıtmak ve varsayılan kimlik bilgilerini güçlü parolalarla değiştirmektir.