Ömrünü tamamlamış (EoL — End of Life) bir yönlendirici modelinde keşfedilen tek bir komut enjeksiyonu açığı, yüz binlerce cihazı potansiyel olarak bir saldırı ordusunun parçası hâline getiriyor. 🛡️ CVE-2025-29635 olarak kayıt altına alınan bu yüksek önem dereceli zafiyet, D-Link DIR-823X serisini hedef alan yeni bir Mirai tabanlı botnet kampanyasının merkezinde yer alıyor. Üretici tarafından artık yama desteği sunulmayan bu cihazlar ağınızda hâlâ ayaktaysa, sorulması gereken soru “saldırıya uğrar mıyım?” değil, “ne zaman uğrarım?” olmalı.
CVE-2025-29635 Nedir ve Neden Kritik?
CVE-2025-29635, D-Link DIR-823X yönlendiricilerin yönetim arayüzünde bulunan bir komut enjeksiyonu (command injection) açığıdır. Uzaktan kod çalıştırma (RCE — Remote Code Execution) sınıfına giren bu zafiyet, kimlik doğrulama gerektirmeksizin ya da son derece düşük ayrıcalıklı bir erişimle istismar edilebildiğinde özellikle tehlikeli hâle gelir. Saldırgan, cihaza ağ üzerinden özel olarak hazırlanmış bir istek göndererek yönlendiricinin işletim sistemi üzerinde kendi seçtiği komutları kök (root) yetkisiyle çalıştırabilir.
Zafiyetin asıl dramatik boyutu ise şu: D-Link, DIR-823X serisinin ömrünü tamamladığını çoktan duyurmuş durumda. Bu, üreticinin bu açık için hiçbir yama yayımlamayacağı anlamına geliyor. Satın alındığında güvenli olan bir cihaz, bugün kalıcı olarak açık konumda bırakılmış oluyor. MITRE ATT&CK çerçevesinde bu durum doğrudan T1190 — Halka Açık Uygulamaların İstismarı tekniğine karşılık geliyor; tehdit aktörleri, internete açık zayıf uç noktaları tarayarak bu tür cihazları dakikalar içinde tespit edip ele geçirebiliyor.
Mirai Botnet’i Nasıl Çalışıyor?
Mirai, 2016’daki ilk ortaya çıkışından bu yana defalarca fork’lanmış, evrim geçirmiş ve yeni zafiyet istismarlarıyla donatılmış olarak geri dönmeye devam ediyor. Temel çalışma mantığı basit ama yıkıcı:
- Tarama: Botnet, interneti sürekli tarayarak hedef cihaz modellerini ve açık portları tespit eder.
- İstismar: CVE-2025-29635 üzerinden RCE elde edilir; cihazın işletim sistemine erişim sağlanır.
- Bulaşma: Zararlı yazılım yükleyicisi indirilir, cihaz botnet komuta kontrol (C2) sunucusuna bağlanır.
- Silah hâline getirme: Ele geçirilen yönlendirici artık DDoS (Dağıtık Hizmet Engelleme) saldırıları, kimlik bilgisi kaba kuvvet denemeleri veya diğer kurumsal ağlara sıçrama noktası (pivot) olarak kullanılır.
⚠️ Burada kritik bir noktanın altını çizmek istiyorum: Ele geçirilen cihaz yalnızca siz için bir sorun değil. Botnet’in parçası olan yönlendiriciniz, başka kurumların altyapısına DDoS saldırısı düzenlemek için kullanılabilir. Bu da sizi hem mağdur hem de —farkında olmadan— saldırı zincirinin bir halkası konumuna düşürür. Hukuki ve itibar riski açısından bu ayrım önemlidir.
Türk Kurumları İçin Risk Perspektifi
Şunu açıkça söylemek gerekiyor: D-Link DIR-823X gibi tüketici ve SOHO (küçük ofis/ev ofisi) sınıfı yönlendiriciler Türkiye’deki küçük ve orta ölçekli işletmelerde, şube ofislerinde ve hatta bazı kurumsal ağların kenar noktalarında oldukça yaygın. “Biz büyük bir firmayız, bizi etkilemez” düşüncesi burada geçerli değil; envanter kayıtlarınıza girilmemiş, BT ekibinin haberi olmayan bir “gölge cihaz” yüzünden bu açıkla karşı karşıya kalabilirsiniz.
Kurumsal ağlarda özellikle dikkat edilmesi gereken senaryolar şunlar:
- Uzak/şube ofislerinde merkezi yönetimden bağımsız çalışan eski model yönlendiriciler
- Üretim ortamlarında (OT/ICS) ağ segmentasyonu için kullanılan ucuz tüketici sınıfı ekipmanlar
- Çalışanların evden bağlandığı VPN altyapılarının arkasındaki ev yönlendiricileri (kurumun kontrolü dışında)
- Tedarikçi veya ortak firma ağları üzerinden gelen bağlantı noktaları
Daha önce CISA KEV listesini incelediğimizde de görüldüğü üzere, aktif istismar edilen zafiyetlerin büyük bölümü ağ ekipmanlarını hedef alıyor. Bu eğilim rastlantı değil; ağ cihazları güncelleme döngüsünün dışında kalıyor, üzerlerine endpoint güvenlik aracı kurulmuyor ve çoğu zaman log üretip SIEM’e göndermiyorlar.
🔧 Wazuh ile Tespit: Kural ve Log Stratejisi
D-Link DIR-823X gibi bir cihazdan doğrudan Wazuh ajanı çalıştırmak mümkün değil; ancak ağ çevresinde konumlandırılmış sistemler üzerinden bu saldırıyı tespit etmek için birkaç farklı strateji uygulanabilir.
1. Syslog tabanlı yönlendirici log toplama: Eğer yönlendirici syslog desteği sunuyorsa, logları bir Wazuh ajanı kurulu Linux sunucusuna yönlendirip oradan analiz edebilirsiniz.
2. Ağ trafiği anomali tespiti: Bir IDS/IPS veya ağ izleme noktasından gelen Suricata alert’lerini Wazuh’a besleyerek Mirai imzalarını yakalayabilirsiniz.
Aşağıdaki Wazuh özel kuralı, Mirai botnet komuta kontrol iletişimiyle ilişkili şüpheli çıkış bağlantılarını ve bilinen Mirai C2 portlarına yönelik trafiği tespit etmek için kullanılabilir:
<!-- /var/ossec/etc/rules/mirai_botnet_detection.xml -->
<group name="mirai,botnet,iot,">
<!-- Bilinen Mirai C2 portlarına şüpheli çıkış bağlantısı -->
<rule id="100500" level="12">
<if_group>firewall</if_group>
<dstport>23|2323|7547|5555|37215|52869</dstport>
<action>allow</action>
<description>Mirai botnet taramasında kullanilan portlara giden baglanti tespit edildi (CVE-2025-29635 ile iliskili)</description>
<mitre>
<id>T1190</id>
<id>T1583.005</id>
</mitre>
<group>botnet,mirai,network_scan</group>
</rule>
<!-- IoT cihaz yönetim arayüzüne yönelik POST flood - komut enjeksiyonu girişimi -->
<rule id="100501" level="14">
<if_group>web|nginx|apache</if_group>
<url>/HNAP1/|/cgi-bin/|/goform/</url>
<match>POST</match>
<same_source_ip></same_source_ip>
<frequency>10</frequency>
<timeframe>60</timeframe>
<description>Yonlendirici yonetim arayuzune yonelik tekrarli POST istegi - komut enjeksiyonu girişimi olabilir</description>
<mitre>
<id>T1190</id>
</mitre>
<group>botnet,command_injection,iot_attack</group>
</rule>
<!-- Ag icinde yeni cihaz - onaylanmamis IoT asset tespiti -->
<rule id="100502" level="8">
<if_sid>5706</if_sid>
<match>DIR-823</match>
<description>Agda D-Link DIR-823X cihazi tespit edildi - EoL durum, CVE-2025-29635 risk degerlendirmesi yapilmali</description>
<group>iot,asset_discovery,eol_device</group>
</rule>
</group>Bunun yanı sıra, ağınızdaki DIR-823X cihazlarını tespit etmek için hızlı bir Nmap taraması yapabilirsiniz:
#!/bin/bash
# Ag segmentinde D-Link DIR-823X cihaz taramasi
# Kullanim: ./scan_dlink.sh 192.168.1.0/24
SUBNET=${1:-"192.168.1.0/24"}
echo "[*] D-Link DIR-823X cihazlari taranıyor: $SUBNET"
nmap -sV -p 80,443,8080,8443 \
--script http-title,http-server-header \
-oG - "$SUBNET" 2>/dev/null | \
grep -i "DIR-823\|D-Link" | \
awk '{print $2, $NF}'
echo "[*] Tarama tamamlandi. EoL cihazlar icin acil eylem plani olusturun."MITRE ATT&CK Eşleştirmesi
Bu kampanya birden fazla ATT&CK tekniğini zincirliyor:
- T1190 — Halka Açık Uygulamaların İstismarı: CVE-2025-29635 üzerinden ilk erişim
- T1059.004 — Unix Shell Komut Yorumlayıcısı: Komut enjeksiyonu sonrası shell üzerinden komut çalıştırma
- T1105 — Araç Transferi: Mirai ikili dosyasının cihaza indirilmesi
- T1583.005 — Botnet Altyapısı Edinimi: Ele geçirilen cihazların DDoS ordusuna katılması
- T1498 — Ağ Hizmet Engelleme: Botnet’in hedef sistemlere DDoS saldırısı düzenlemesi
📊 Ne Yapmalısınız? Acil Aksiyon Listesi
- 🔍 Envanter taraması yapın: Ağınızdaki tüm D-Link cihazlarını, özellikle DIR-823X modelini tespit edin. Şube ofisleri ve uzak lokasyonları da kapsama alın. Bilinmeyen bir cihaz bulamazsanız bile bu taramayı düzenli yapın.
- 🚫 EoL cihazları derhal izole edin veya devre dışı bırakın: Üretici yama desteği sunmuyorsa güvenli bir çözüm yoktur. Bu cihazı kritik ağ segmentlerinden ayırın, yönetim arayüzünü internet erişimine kapatın ve mümkünse desteklenen bir modelle değiştirin.
- 🛡️ Yönetim arayüzüne erişimi kısıtlayın: DIR-823X’in web yönetim paneline yalnızca yerel ve güvenilir IP adreslerinden erişim izni verin. WAN tarafından erişimi tamamen kapatın.
- 📡 Ağ trafiğini izleyin: Wazuh veya kullandığınız SIEM çözümünde yukarıdaki kuralları etkinleştirin. Yönlendiricilerden syslog akışı sağlıyorsanız bu logları merkezi analiz platformunuza dahil edin.
- 🔄 IoT/ağ cihazı güncelleme politikası oluşturun: Bu olay, EoL cihaz yönetiminin ne kadar kritik olduğunu bir kez daha kanıtlıyor. Kurumsal politikanıza “EoL tarihinden itibaren X ay içinde değiştirme” kuralını ekleyin.
- 🧩 Tedarikçi ve ortak ağlarını da değerlendirin: Kendi ağınızı temizleseniz bile bağlı olduğunuz tedarikçinin ağında böyle bir cihaz varsa pivot saldırısı riski devam eder. Üçüncü taraf risk değerlendirmenizi güncel tutun.
Son bir not: Zimbra XSS açığı veya Microsoft Defender yetki yükseltme zafiyeti gibi yazılım açıklarından farklı olarak, bu tür donanım zafiyetleri çoğu zaman görünmez kalır. Yazılım için güncelleme mekanizmaları, uç nokta güvenlik araçları, EDR uyarıları var — ama yönlendiriciniz sessizce saldırıya uğruyorsa bunu ancak ağ trafiği anomalisi veya dış kaynak uyarısıyla öğrenebilirsiniz. Bu yüzden ağ görünürlüğü, IoT güvenliği söz konusu olduğunda tek gerçek savunma hattınızdır.
Orijinal kaynak: https://www.bleepingcomputer.com/news/security/new-mirai-campaign-exploits-rce-flaw-in-eol-d-link-routers/
Bir Cevap Yazın