İnce Satırlar
Liste Modu
Döşeme Modu
Sade Döşeme Modu
Blog Modu
Cihazlar arka kapı ile ele geçirildi
Saldırganlar, daha önce Asus tarafından yamalanmış bir dizi güvenlik açığını kullanarak cihazlara erişim sağlıyor. Bunlardan biri CVE-2023-39780 olarak takip edilen komut enjeksiyon açığı. Ancak diğer kullanılan açıkların CVE sistemi üzerinden takip edilmediği, dolayısıyla kamuoyunda pek bilinmediği belirtiliyor. Bu durum, saldırının özellikle sessiz ve iz bırakmadan gerçekleştirilmesini sağlıyor.
Erişimi sağladıktan sonra saldırganlar, router cihazına özel bir SSH anahtarı yerleştiriyor. Bu anahtar sayesinde, özel anahtara sahip kişiler cihazlara otomatik olarak yönetici haklarıyla erişebiliyor. Daha da endişe verici olan ise bu erişimin cihaz yeniden başlatıldığında veya firmware güncellendiğinde dahi geçerliliğini koruması.
GreyNoise'dan araştırmacılar “Saldırganın erişimi hem yeniden başlatmalarda hem de ürün yazılımı güncellemelerinde hayatta kalarak etkilenen cihazlar üzerinde kalıcı kontrol sağlıyor.” diyor.
Araştırmacılar, arka kapı ile ele geçirilen cihazların henüz aktif bir saldırı için kullanılmadığını, ancak büyük çaplı bir saldırı için "hazırlık evresi" olabileceğini değerlendiriyor. Tespit edilen IP adreslerinden yapılan erişimler; Malezya, Avrupa ve Asya kökenli olabilir. Bu da saldırının arkasında bir devlet destekli aktör olabileceği ihtimalini güçlendiriyor.
Söz konusu olaya dair ilk izler Mart ortasında fark edildi. GreyNoise, durumu ilgili devlet kurumlarına bildirdikten sonra kamuoyuna açıklama yaptı. Konu hakkındaki veriler geçtiğimiz hafta Sekoia adlı başka bir güvenlik firması tarafından da paylaşılmıştı. Sekoia'nın analizlerine göre bu saldırı ViciousTrap adlı bilinmeyen bir tehdit grubu tarafından yürütülüyor olabilir.
Kullanıcılar ne yapmalı?
“ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...”
Eğer bu tür bir anahtar ve port 53282 üzerinden açık bir SSH bağlantısı varsa, cihaz yüksek ihtimalle enfekte olmuş demektir. Bu durumda kullanıcıların ilgili anahtarı ve port ayarını silerek arka kapıyı manuel olarak kaldırması gerekiyor.
Ayrıca aşağıdaki IP adreslerinden gelen erişim kayıtları sistem log'larında yer alıyorsa, cihazın hedef alındığı anlaşılabilir:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
Uzmanlar, yalnızca Asus değil tüm marka router kullanıcılarının güvenlik güncellemelerini düzenli olarak kontrol etmesini ve varsayılan yönetici şifrelerini değiştirmesini öneriyor.
Bu haberi ve diğer DH içeriklerini, gelişmiş mobil uygulamamızı kullanarak görüntüleyin:
Kapısı bildiğin normal araçların motor kaputu olarak bilinen yerden yani önden açılıyor!