Güvenlik araştırmacılarının yayınladığı son rapor, dünya genelinde kullanılan binlerce Asus router cihazında ciddi ve kalıcı bir güvenlik açığı olduğunu ortaya koydu. Cihazlara dışarıdan yönetici erişimi sağlayan bu açık, kullanıcıların haberi olmadan router’ların ele geçirilmesine yol açıyor.
Saldırganlar Firmware Güncellemelerine Rağmen Erişimi Sürdürüyor
GreyNoise adlı güvenlik firması tarafından yapılan incelemelere göre, yaklaşık 9.000 Asus router cihazında gizli bir SSH anahtarı aracılığıyla arka kapı bırakıldığı tespit edildi. Söz konusu anahtar, saldırganlara cihaz üzerinde tam yönetim yetkisi veriyor ve bu erişim, cihaz yeniden başlatılsa ya da yazılım güncellense dahi geçerliliğini sürdürüyor.
Araştırmacılar, saldırganların daha önce Asus tarafından kapatılan bir dizi güvenlik açığını kullandığını belirtiyor. Bunlardan biri CVE-2023-39780 olarak bilinen komut enjeksiyon açığı. Ancak kullanılan diğer açıkların CVE sistemine dahil edilmediği ve kamuoyunda bilinmediği vurgulanıyor. Bu durum, saldırıların daha gizli ve iz bırakmadan gerçekleştirildiği anlamına geliyor.
Saldırganlar cihazlara erişim sağladıktan sonra özel bir SSH anahtarı yüklüyor. Bu anahtara sahip kişiler, router cihazına yönetici yetkileriyle doğrudan erişebiliyor. Bu erişim, cihazın yeniden başlatılmasından veya firmware güncellemesinden etkilenmediği için sistem üzerinde kalıcı bir kontrol sağlıyor.
GreyNoise uzmanları, bu durumun yalnızca bireysel kullanıcılar için değil kurumsal ağlar açısından da büyük bir risk oluşturduğunu belirtiyor.
Saldırıların Mart ortasında tespit edildiği açıklandı. GreyNoise, ilgili devlet kurumlarına bilgi verdikten sonra kamuoyuna açıklamada bulundu. Öte yandan Sekoia adlı başka bir siber güvenlik firması da benzer bulgulara ulaştı. Sekoia’nın değerlendirmelerine göre, saldırıların arkasında “ViciousTrap” adıyla tanımlanan bilinmeyen bir tehdit grubunun yer alıyor olması muhtemel.
Tespit edilen IP adreslerinden bazılarının Malezya, Avrupa ve Asya kökenli olduğu görülüyor. Bu da saldırının küresel ölçekte planlandığını ve arkasında devlet destekli bir yapının bulunabileceğini düşündürüyor. Asus router kullanıcılarının cihazlarını derhal kontrol etmesi öneriliyor. Özellikle SSH ayarları incelenerek şu anahtar yapılandırmasının olup olmadığına dikkat edilmeli:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Eğer bu tür bir SSH anahtarı varsa ve 53282 numaralı port üzerinden açık bir bağlantı gözlemleniyorsa, cihaz büyük ihtimalle ele geçirilmiş demektir. Bu durumda kullanıcıların, ilgili port ve SSH anahtarını manuel olarak sistemden kaldırması gerekiyor.
Ayrıca cihazın sistem log’larında aşağıdaki IP adreslerinden biriyle bağlantı kurulmuşsa cihazın hedef alındığı anlaşılabilir:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
Uzmanlar, yalnızca Asus değil tüm router kullanıcılarının cihazlarını düzenli olarak güncellemesini ve varsayılan yönetici şifrelerini güçlü, tahmin edilmesi zor parolalarla değiştirmesini öneriyor. Aksi hâlde kullanıcılar, farkında olmadan cihazlarını büyük ölçekli siber saldırılar için birer basamak hâline getirebilir.
