Hackerlar, Dünya Genelindeki 15.000 Endüstriyel Router’deki Zafiyeti Kullanıyor

Hackerlar, Çin’de üretilen Four-Faith endüstriyel routerlarındaki ciddi bir güvenlik açığını hedef alıyor.

CVE-2024-12856 olarak belirlenen sorun, F3x24 ve F3x36 modellerini etkiliyor. Saldırganların varsayılan giriş bilgilerini kullanarak bu yönlendiricilerin kontrolünü uzaktan ele geçirmesine olanak sağlar, bu da binlerce cihazı risk altına sokar. Güvenlik araştırmacıları, VulnCheck ‘teki problemden bahsettiler.

VulnCheck Baş Teknoloji Sorumlusu Jacob Baines, ekibinin Kasım ayında DucklingStudio tarafından yazılan bir blogda bahsedilen aynı kullanıcı aracını tespit ettiğini bildirdi. Bu kullanıcı aracı, bir başka kötü amaçlı yazılım yüklemeyi hedefleyen zafiyeti istismar etmeye çalışmıştı. Baines, bu hatanın nasıl istismar edilebileceğini gösteren bir videoyu da paylaştı.

Gov Security Info dört inançlı yönlendiricilerin genellikle uzaktan izleme ve kontrol gerektiren endüstrilerde kullanıldığını açıklar. Tipik müşteriler arasında fabrikalar, üretim tesisleri, endüstriyel otomasyon sistemleri, enerji şebekeleri, yenilenebilir enerji tesisleri, su hizmetleri ve taşımacılık şirketleri bulunmaktadır.

Bu yönlendiriciler, filo yönetimi ve araç izleme gibi görevler için gerçek zamanlı veri iletimini destekler. Araştırmacılar, yaklaşık 15.000 çevrimiçi erişilebilir cihazın saldırıya karşı savunmasız olduğunu tahmin ediyorlar, bu tahmin bir Censys raporuna dayanmaktadır.

Sömürü, saldırganların ters kabuk çalıştırarak routerlara yetkisiz kontrol sağlamalarına olanak tanır. Ters kabuk saldırısında, saldırganlar zayıflıklardan yararlanır, kurban makinelerini kendi sunucularına bağlar, uzaktan kontrol, veri hırsızlığı, kötü amaçlı yazılım dağıtımı ve komut satırı talimatları aracılığıyla güvenli ağlara erişimi sağlar, CheckPoint tarafından belirtildiği gibi.

Cyberscoop ise bu güvenlik açığının, Internet of Things (IoT) cihazlarını hedef alan kötü ünlü zararlı yazılım ve botnet Mirai’nin bir varyantı ile bağlantılı olabileceğini bildiriyor. Botnet oluşturmak için gençler tarafından orijinal olarak geliştirilen ve ilk olarak 2016’da tespit edilen Mirai, dünya genelinde IoT cihazları için baskın bir tehdit olmaya devam ediyor.

Zscaler verileri, Haziran 2023 ve Mayıs 2024 arasında IoT kötü amaçlı yazılım saldırılarının üçte birinden fazlasının Mirai tarafından gerçekleştirildiğini gösteriyor, bu oran diğer kötü amaçlı yazılım ailelerini çok geride bırakıyor. Ayrıca, bu dönem içinde engellenen IoT işlemlerinin %75’ten fazlası, Cyberscoop tarafından bildirildiği gibi Mirai’nin kötü amaçlı kodlarıyla ilişkilendirildi.

Gov Security Info’ya göre, Four-Faith 20 Aralık’ta VulnCheck’in sorumlu açıklama politikası gereğince açıklığın bilgisini aldı. Yama veya firmware güncellemeleri hakkında ayrıntılar şu an için mevcut değil.

Araştırmacılar, etkilenen yönlendirici modellerinin kullanıcılarının varsayılan kimlik bilgilerini değiştirmelerini, ağa maruz kalmayı sınırlamalarını ve cihaz aktivitelerini yakından izlemelerini öneriyor.