Tehdit Aktörleri CVE-2021-35394 Güvenlik Açığını İstismar Etmek İçin 134 Milyon Saldırı Gerçekleştirdi!

‍

Araştırmacılar, tehdit aktörlerinin Ağustos ve Ekim 2022 arasında Realtek Jungle SDK'daki uzaktan kod yürütme güvenlik açığını istismar etmek için saldırılarını arttırdığını bildirdi. Palo Alto Networks raporunda, o dönemdeki tüm saldırıların yüzde 40'ından fazlasının bu zafiyeti hedef aldığını belirtti.

CVE-2021-35394 (CVSS puanı: 9,8) olarak tanımlanan güvenlik açığı, Aralık2022 itibarıyla 134 milyon istismar girişimine maruz kaldı.

Araştırmacılar, saldırıların savunmasız IoT cihazlarına sızma ve malwareyayma girişimleri içerdiğini keşfetti; bu durum tehdit aktörlerinin Realtek zafiyetini kullanarak büyük ölçekli saldırılar başlatmayı amaçladıklarını gösteriyor.

CVE-2021-35394, 66 üreticiden yaklaşık 190 farklı cihazı etkiliyor. Saldırganlar, bu zafiyeti istismar ederek supply chain saldırıları gerçekleştirebiliyor; bu nedenle saldırganlar, zafiyeti özellikle hedef alıyor.

Güvenlik açığından yararlanma girişimlerinin neredeyse yarısı ABD'den geldive saldırı kaynaklarında Vietnam ikinci ve Rusya üçüncü sırada yer aldı.

Saldırılarda keşfedilen malware örneklerinin çoğu Mirai, Gafgyt ve Mozi gibi tanınmış zararlı yazılımlardan geliyor. Araştırmacılar ayrıca, saldırılarda RedGoBot adlı yeni bir denial-of-service (DDoS) botnetini keşfetti.

Zafiyeti İstismar Etme Yöntemleri

Araştırmacılar, CVE-2021-35394'ten yararlanmak için kullanılan üç farklıyöntem keşfetti:

• Tip 1: Hedeflenen sunucuda bir shell komutu çalıştıran, zararlı bir IP adresine bağlanan ve malware indiren bir komut dosyası. Tip-1 saldırılarında en çok rastlanan bulgular Mirai zararlı yazılımına ait.
• Tip 2: Bir dosyaya binary payload yazan ve yürüten bir komut.
• Tip 3: Hedeflenen sunucuyu doğrudan yeniden başlatabilen ve denial-of-service (DoS) saldırılarına neden olan komut.

QNAP'ta Saldırganların Kötü Amaçlı KodYerleştirmesine İzin Veren Kritik Zafiyet Kapatıldı

QNAP müşterilerine, uzaktaki saldırganların QNAP NAS cihazlarına kötü amaçlı kod yerleştirmesine olanak tanıyan kritik bir güvenlik açığını gidermek için QTS ve QuTS ürün yazılımlarını güncellemelerini tavsiye ediyor.

‍

Şirket CVE-2022-27596 güvenlik açığını kritik olarak derecelendirdi ve CVSS puanını 9.8 olarak belirledi.

Güvenlik açığı, işletim sisteminin QTS 5.0.1 ve QuTS hero h5.0.1 sürümlerini etkiliyor. QNAP'ın güvenlik rehberinde, zafiyetin aktif olarak istismar edilmediği bildirildi.

NIST, güvenlik açığından bir SQL injection zafiyeti olarak bahsetti, ancakQNAP tarafından bu konu hakkında herhangi bir bilgi verilmedi.

Güvenlik açığının önem derecesini açıklayan bir JSON dosyası da QNAP tarafından kullanıma sunuldu. Bu dosya saldırganların, kullanıcının etkileşimi veya hedef cihazda ayrıcalıklar olmadan saldırılarda kolayca zafiyetten yararlanabileceğini göstermektedir.

En Son Sürümlere Güncelleme

Tehdit aktörleri QNAP güvenlik açıklarını aktif olarak hedeflediğinden, zafiyetin kritikliği nedeniyle kullanıcıların güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları öneriliyor.

Güvenlik açığının aşağıdaki işletim sistemi sürümlerinde kapatıldığı bildirildi:

• QTS 5.0.1.2234 build 20221201 and later
• QuTS hero h5.0.1.2248 build 20221215 and later