Güvenlik araştırmacıları, dünya çapında binlerce Asus router cihazını etkileyen kritik ve kalıcı bir güvenlik açığı tespit etti. Bu açık, saldırganların cihazlara dışarıdan yönetici erişimi elde etmesine ve router’ları kullanıcıların haberi olmadan tamamen ele geçirmesine imkân tanıyor.
Firmware Güncellemeleri Bile Yetersiz
GreyNoise güvenlik firması tarafından yürütülen analizlerde, yaklaşık 9.000 Asus router cihazında gizli bir SSH anahtarının arka kapı olarak bırakıldığı belirlendi. Bu SSH anahtarı sayesinde, saldırganlar cihaz üzerinde tam yetkiye sahip oluyor ve bu erişim, cihaz yeniden başlatılsa veya firmware güncellense bile geçerliliğini sürdürüyor.
Araştırmacılar, saldırganların Asus tarafından daha önce kapatılmış bazı açıkları kullandığını, özellikle CVE-2023-39780 komut enjeksiyon açığının öne çıktığını belirtiyor. Ancak, diğer kullanılan açıkların henüz kamuya açıklanmadığı ve CVE kaydına girmediği vurgulanıyor. Bu durum, saldırıların daha gizli ve tespit edilmesi zor şekilde sürdürüldüğünü gösteriyor.
Saldırı Nasıl Gerçekleşiyor?
Saldırganlar, ele geçirdikleri cihazlara özel bir SSH anahtarı yükleyerek yönetici seviyesinde doğrudan erişim elde ediyor. Bu anahtar, cihaz üzerinde kalıcı olarak saklanıyor ve sistem yeniden başlatılsa ya da güncelleme yapılsa bile silinmiyor. Böylece saldırganlar uzun süreli kontrol sağlayabiliyor.
GreyNoise uzmanları, bu açığın yalnızca bireysel kullanıcıları değil, kurumsal ağları da ciddi şekilde tehdit ettiğini belirtiyor.
Saldırı Küresel Ölçekte
Saldırıların Mart ayı ortasında başladığı ve GreyNoise tarafından devlet kurumlarına bilgi verildikten sonra kamuoyuyla paylaşıldığı bildirildi. Sekoia adlı başka bir siber güvenlik firmasının da benzer bulgulara ulaştığı, saldırıların arkasında “ViciousTrap” adlı yeni bir tehdit grubunun olabileceği ifade edildi.
İncelenen IP adreslerinin Malezya, Avrupa ve Asya kökenli olması, saldırının küresel çapta ve organize şekilde yürütüldüğünü düşündürüyor. Bu da, arkasında devlet destekli bir yapı olabileceği ihtimalini artırıyor.
Kullanıcılar Ne Yapmalı?
Asus router kullanıcılarının cihazlarını acilen kontrol etmeleri öneriliyor. Özellikle SSH ayarları arasında aşağıdaki anahtarın bulunup bulunmadığına dikkat edilmeli:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Ayrıca, 53282 numaralı port üzerinden açık bir SSH bağlantısı olup olmadığı kontrol edilmeli. Eğer bu tür bir anahtar ya da bağlantı tespit edilirse, cihaz büyük olasılıkla ele geçirilmiş demektir ve ilgili SSH anahtarı ile portun manuel olarak silinmesi gerekiyor.
Cihazın sistem log’larında aşağıdaki IP adreslerinden herhangi biriyle bağlantı tespit edilirse, router’ın hedef alınmış olma ihtimali yüksek:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
Uzmanlar, sadece Asus değil tüm router kullanıcılarının cihazlarını düzenli olarak güncellemeleri, varsayılan yönetici şifrelerini güçlü ve tahmin edilmesi zor parolalarla değiştirmeleri gerektiğini vurguluyor. Aksi takdirde, kullanıcılar farkında olmadan cihazlarını büyük ölçekli siber saldırılar için birer araç haline getirebilir.