Dark Mirai (manga) olarak bilinen botnet’in, 2017’de piyasaya sürülen popüler bir ucuz ev yönlendiricisi olan TP-Link TL-WR840N EU V5’teki yeni bir güvenlik açığından yararlandığı gözlendi.
Kusur CVE-2021-41653 olarak izlenir ve kimliği doğrulanmış bir kullanıcının cihazda komutları yürütmek için kötüye kullanabileceği savunmasız bir ‘ana bilgisayar’ değişkeni neden olabilir.
TP-Link, 12 Kasım 2021’de bir ürün yazılımı güncellemesi (TL-WR840N(AB)_V5_211109) yayınlayarak kusuru düzeltti. Ancak, birçok kullanıcı henüz güvenlik güncelleştirmesini uygulamadı.
Güvenlik açığını keşfeden araştırmacı kavram kanıtı yayınladı (PoC) RCE için yararlanarak güvenlik açığını kullanan tehdit aktörlerine yol açtı.
Araştırmacılar tarafından hazırlanan bir rapora göre Fortinet, Dark Mirai etkinliğini takip eden botnet, TP-Link’in ürün yazılımı güncellemesini yayınlamasından sadece iki hafta sonra cephaneliğine belirli RCE’yi ekledi.
Sömürü süreci
Dark Mirai durumunda, aktörler CVE-2021-41653’ü kullanarak cihazları kötü amaçlı bir komut dosyası olan “tshit.sh”i indirmeye ve yürütmeye zorlar ve bu da ana ikili yükleri iki istekle indirir.
Bu açıkların çalışması için aktörlerin kimlik doğrulaması yapması gerekir, ancak kullanıcı cihazdan varsayılan kimlik bilgileriyle ayrılmışsa, güvenlik açığından yararlanmak önemsiz hale gelir.
Standart Mirai’ye benzer şekilde MANGA, virüslü makinenin mimarisini algılar ve eşleşen yükü getirir.
Ardından, diğer botnet’lerin yakalanan aygıtı ele geçirmelerini önlemek için yaygın olarak hedeflenen bağlantı noktalarına bağlantıları engeller.
Son olarak, kötü amaçlı yazılım, C&C (komut ve denetim) sunucusundan bir komutun bir tür DoS (hizmet reddi) saldırısı gerçekleştirmesini bekler.
Mirai kodu hala IoT’leri rahatsız ediyor
Mirai gitmiş olabilir, ama kodu çok sayıda ortaya çıktı. yeni botnet’ler güvenli olmayan aygıtlara büyük ölçekli sorunlara neden olur.
Daha dün, ‘Moobot’un ortaya çıkışı Hikvision ürünlerinde bir komut ekleme kusurundan yararlanarak.
Ağustos 2021’de, başka bir Mirai tabanlı botnet çok sayıda Realtek tabanlı cihaz tarafından kullanılan SDK yazılımında kritik bir güvenlik açığını hedef aldı.
Yönlendiricinizi Mirai’nin eski ve yeni varyantlarına veya başka bir botnet’e karşı korumak için aşağıdakileri yapın:
- Kullanılabilir ürün yazılımı ve güvenlik güncelleştirmelerini en kısa sürede uygulayın
- 20 veya daha fazla karakterden oluşan güçlü bir parolayla varsayılan yönetici kimlik bilgilerini değiştirme
- DNS ayarlarınızı düzenli olarak kontrol edin
- Ev yönlendiricilerinde genellikle varsayılan olarak devre dışı bırakılan güvenlik duvarlarını etkinleştirme
- Alt ağ adresinizi değiştirme ve yönetim sayfasında SSL’yi zorlama
- Tüm uzaktan yönetim özelliklerini devre dışı bırakın.
- Kullanmıyorsanız UPnP ve WPS’yi devre dışı bırakma
- Yönlendiriciniz güncel değilse ve artık satıcı tarafından desteklenmiyorsa, yenisiyle değiştirin