Hackerlar, Mirai Botnet'ini Yaymak İçin Samsung MagicINFO ve GeoVision IoT Açıklarından Yararlanıyor

07.05.2025

Hackerlar, güncellenmemiş güvenlik açıklarına sahip eski GeoVision Nesnelerin İnterneti (IoT) cihazlarını Mirai botnet ağına dahil etmek için aktif olarak bu açıkları kötüye kullanıyor. Mirai botnet ağı, genellikle büyük ölçekli dağıtık hizmet engelleme (DDoS) saldırıları başlatmak için kullanılıyor. Bu zararlı faaliyet ilk olarak 2025 Nisan ayının başlarında Akamai Güvenlik İstihbarat ve Müdahale Ekibi tarafından tespit edildi.

Saldırganlar, CVE 2024 6047 ve CVE 2024 11120 olarak takip edilen iki kritik komut enjeksiyonu güvenlik açığından yararlanıyor. Bu açıklar, DateSetting.cgi adlı belirli bir uç noktayı ve szSrvIpAddr adlı bir parametreyi kullanarak sistem komutlarının yürütülmesine olanak tanıyor. Bu açıklar başarıyla kullanıldığında, saldırganlar cihazları uzaktan kontrol edebiliyor.

Ele geçirilen cihazlar, ARM tabanlı sistemler için tasarlanmış LZRD adlı bir Mirai kötü amaçlı yazılım sürümünü indirmek ve çalıştırmak için kullanılıyor. Bu kampanya ayrıca Hadoop YARN’daki bilinen bir açık ve 2024 sonlarında açıklanan bir DigiEver açığı gibi başka güvenlik zafiyetlerinin kullanılmasını da içeriyor. Araştırmacılar bu saldırıların, InfectedSlurs olarak bilinen bir tehdit grubu ile bağlantılı olabileceğini düşünüyor.

Ayrı bir saldırı dalgasında ise Samsung MagicINFO 9 Server yazılımındaki ciddi bir güvenlik açığı hedef alındı. CVE 2024 7399 olarak tanımlanan bu açık, yetkisiz kullanıcıların sisteme rastgele dosyalar yazmasına olanak tanıyor. Bu açık, zararlı dosyaların yerleştirilmesiyle uzaktan komut çalıştırmaya neden olabiliyor. Samsung bu açık için 2024 Ağustos ayında bir yama yayınlamış olsa da, 2025 Nisan’ında bir kavram kanıtlama (proof of concept) yayınlandıktan sonra açık yeniden saldırganlar tarafından kullanılmaya başlandı.

Güvenlik uzmanları, desteklenmeyen GeoVision cihazlarının değiştirilmesini ve Samsung MagicINFO sunucularının en az 21.1050 sürümüne güncellenmesini öneriyor. Bu önlemler, sistemlerin ele geçirilmesini ve gelecekteki botnet saldırılarında kullanılmasını önlemek açısından kritik önem taşıyor.