ASUS’tan Kritik Güvenlik Açığı Uyarısı: AiCloud Özelliği Olan Yönlendiriciler Tehlikede
ASUS, AiCloud özelliğini kullanan yönlendiricilerde kritik düzeyde bir güvenlik açığı tespit edildiğini duyurdu. CVE-2025-2492 olarak izlenen bu açık, kimlik doğrulama gerektirmeden uzaktan kötüye kullanılabiliyor. Açığın CVSS v4 puanı 9.2 olarak belirlendi ve bu durum söz konusu güvenlik açığını son derece tehlikeli hâle getiriyor. Saldırganlar, özel olarak hazırlanmış bir istek aracılığıyla cihazda yetkisiz işlemler gerçekleştirebiliyor.
Açık Hangi Cihazları Etkiliyor?
AiCloud, birçok ASUS yönlendiricide yer alan ve cihazı kişisel bir bulut sunucusuna dönüştüren bir uzaktan erişim hizmetidir. Bu özellik, kullanıcıların yönlendiriciye bağlı USB cihazlarındaki dosyalara internet üzerinden ulaşmasını, medya içeriklerini uzaktan oynatmasını ve ev ağıyla diğer bulut servisleri arasında dosya senkronizasyonu yapmasını sağlıyor. Ayrıca bağlantı paylaşımı yoluyla dosya aktarımı da mümkün hâle geliyor.
ASUS’un yayınladığı güvenlik bültenine göre söz konusu güvenlik açığı, 3.0.0.4_382, 3.0.0.4_386, 3.0.0.4_388 ve 3.0.0.6_102 serisi yazılım sürümlerini kullanan birçok yönlendirici modelini etkiliyor. ASUS, bu sürümler için güvenlik güncellemelerini yayımladı ve kullanıcıları en son yazılım sürümlerine geçmeye çağırdı. Güncellemeler ASUS’un resmi destek sayfası ya da ürün arama ekranı üzerinden indirilebiliyor. Firma, ayrıntılı yazılım güncelleme adımlarını da kullanıcılarıyla paylaştı.
ASUS, yönlendirici kullanıcılarına güçlü güvenlik önlemleri alınmasını tavsiye ediyor. Kablosuz ağ şifresi ve yönlendirici yönetim paneli şifresi farklı ve en az 10 karakter uzunluğunda olmalı; harf, rakam ve sembol içermeli. Eğer kullanıcıların elindeki cihaz artık desteklenmeyen modeller arasındaysa, AiCloud özelliği tamamen devre dışı bırakılmalı. Bununla birlikte internet erişimi (WAN), port yönlendirme, DDNS, VPN sunucusu, DMZ, port tetikleme ve FTP gibi hizmetler de kapatılmalı.
Henüz bu açığın aktif olarak kullanıldığına veya internette açık bir sömürü kodunun (PoC) paylaşıldığına dair bir bilgi bulunmuyor. Ancak uzmanlar, bu tarz açıklara sahip cihazların genellikle zararlı yazılım bulaştırmak ya da DDoS saldırılarında kullanılmak üzere hedef alındığını hatırlatıyor. Bu nedenle kullanıcıların ASUS tarafından sunulan en son güncellemeleri bir an önce yüklemesi gerekiyor.
