Siber saldırganların, kullanım ömrü dolmuş (EoL) GeoVision Nesnelerin İnterneti (IoT) cihazlarındaki güvenlik açıklarını aktif olarak istismar ederek, bu cihazları dağıtılmış hizmet reddi (DDoS) saldırıları yapmak amacıyla bir Mirai botnetine dahil ettikleri gözlemlendi.


Akamai Güvenlik İstihbaratı ve Müdahale Ekibi (SIRT) tarafından Nisan 2025 başlarında fark edilen bu saldırılar, rastgele sistem komutları çalıştırmaya imkan tanıyan iki işletim sistemi komut ekleme açığını (CVE-2024-6047 ve CVE-2024-11120, CVSS puanı 9.8) kullanıyor.


Akamai'den Kyle Lefton'a göre, saldırı GeoVision cihazlarındaki /DateSetting.cgi adresini hedefliyor ve szSrvIpAddr parametresine komutlar ekliyor. Tespit edilen saldırılarda, botnetin LZRD isimli Mirai zararlı yazılımının ARM sürümünü indirmek ve çalıştırmak için komutlar gönderdiği görülüyor.


Botnetin kullandığı diğer açıklar arasında bir Hadoop YARN zafiyeti (CVE-2018-10561) ve Aralık 2024'te belirtilen DigiEver açığı yer alıyor. Bu saldırıların daha önce InfectedSlurs adı altında görülen aktivitelerle örtüştüğüne dair işaretler bulunuyor.


Lefton, "Siber suçlular için botnet kurmanın en etkili yollarından biri, eski cihazlardaki güvenliği zayıf ve güncel olmayan yazılımları hedeflemektir" diyor. "Birçok donanım üreticisi, kullanım ömrü dolmuş cihazlar için yama yayınlamaz (hatta bazen üreticinin kendisi kapanmış olabilir)."


Etkilenen GeoVision cihazları muhtemelen yeni yama almayacağı için, kullanıcıların olası tehditlere karşı korunmak amacıyla daha yeni modellere yükseltme yapmaları öneriliyor.


Samsung MagicINFO Zafiyeti Mirai Saldırılarında İstismar Ediliyor


Bu açıklama, Arctic Wolf ve SANS Teknoloji Enstitüsü'nün, Samsung MagicINFO 9 Server'da bulunan ve saldırganın sistem yetkisiyle rastgele dosyalar yazmasına imkan tanıyan bir dizin geçişi zafiyetinin (CVE-2024-7399, CVSS 8.8) Mirai botnetini yaymak için aktif olarak kullanıldığı konusunda uyardığı sırada geldi.


Samsung bu sorunu Ağustos 2024'te düzeltmiş olsa da, 30 Nisan 2025'te bir 'proof-of-concept' (PoC) yayınlanmasının ardından saldırganlarca botneti indiren bir kabuk betiğini çalıştırmak için kullanılmaya başlandı.


Arctic Wolf'a göre, açık kimliği doğrulanmamış kullanıcıların rastgele dosya yazmasına izin veriyor ve özel olarak hazırlanmış JSP (JavaServer Pages) dosyaları yazmak için kullanıldığında uzaktan kod çalıştırmaya neden olabilir.


Kullanıcıların olası sorunları önlemek için MagicINFO kurulumlarını 21.1050 ve sonraki sürümlere güncellemeleri önerilir.