
Cihazlar arka kapı ile ele geçirildi
Saldırganlar, daha önce Asus tarafından yamalanmış bir dizi güvenlik açığını kullanarak cihazlara erişim sağlıyor. Bunlardan biri CVE-2023-39780 olarak takip edilen komut enjeksiyon açığı. Ancak diğer kullanılan açıkların CVE sistemi üzerinden takip edilmediği, dolayısıyla kamuoyunda pek bilinmediği belirtiliyor. Bu durum, saldırının özellikle sessiz ve iz bırakmadan gerçekleştirilmesini sağlıyor.
Erişimi sağladıktan sonra saldırganlar, router cihazına özel bir SSH anahtarı yerleştiriyor. Bu anahtar sayesinde, özel anahtara sahip kişiler cihazlara otomatik olarak yönetici haklarıyla erişebiliyor. Daha da endişe verici olan ise bu erişimin cihaz yeniden başlatıldığında veya firmware güncellendiğinde dahi geçerliliğini koruması.
GreyNoise'dan araştırmacılar “Saldırganın erişimi hem yeniden başlatmalarda hem de ürün yazılımı güncellemelerinde hayatta kalarak etkilenen cihazlar üzerinde kalıcı kontrol sağlıyor.” diyor.
Araştırmacılar, arka kapı ile ele geçirilen cihazların henüz aktif bir saldırı için kullanılmadığını, ancak büyük çaplı bir saldırı için "hazırlık evresi" olabileceğini değerlendiriyor. Tespit edilen IP adreslerinden yapılan erişimler; Malezya, Avrupa ve Asya kökenli olabilir. Bu da saldırının arkasında bir devlet destekli aktör olabileceği ihtimalini güçlendiriyor.
Söz konusu olaya dair ilk izler Mart ortasında fark edildi. GreyNoise, durumu ilgili devlet kurumlarına bildirdikten sonra kamuoyuna açıklama yaptı. Konu hakkındaki veriler geçtiğimiz hafta Sekoia adlı başka bir güvenlik firması tarafından da paylaşılmıştı. Sekoia'nın analizlerine göre bu saldırı ViciousTrap adlı bilinmeyen bir tehdit grubu tarafından yürütülüyor olabilir.
Kullanıcılar ne yapmalı?

“ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...”
Eğer bu tür bir anahtar ve port 53282 üzerinden açık bir SSH bağlantısı varsa, cihaz yüksek ihtimalle enfekte olmuş demektir. Bu durumda kullanıcıların ilgili anahtarı ve port ayarını silerek arka kapıyı manuel olarak kaldırması gerekiyor.
Ayrıca aşağıdaki IP adreslerinden gelen erişim kayıtları sistem log'larında yer alıyorsa, cihazın hedef alındığı anlaşılabilir:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
Uzmanlar, yalnızca Asus değil tüm marka router kullanıcılarının güvenlik güncellemelerini düzenli olarak kontrol etmesini ve varsayılan yönetici şifrelerini değiştirmesini öneriyor.
ASUS'tan resmi açıklama geldi
Asus, konuya dair aşağıdaki açıklamayı yayınladı:
"Son zamanlarda ASUS router’larındaki güvenlik açıklarının kötüye kullanılma girişimlerine dair medyada çıkan haberlere yanıt veren ASUS bu açıkların giderilebildiğini duyurdu. Bazı yorumlarda yalnızca aygıt yazılımı (firmware) güncellemesinin sorunu tamamen çözmeyebileceği iddia edilse de ASUS kullanıcılarına şu önerileri uygulamalarını önemle tavsiye ediyor: Aygıt yazılımını en son sürüme güncellemek, cihazı fabrika ayarlarına sıfırlamak ve güçlü bir yönetici parolası belirlemek. Bu adımlar, cihaz güvenliğini etkili bir şekilde sağlayarak sürdürülebilir biçimde korumaya yardımcı oluyor.
Aşağıda belirtilen adımlar yalnızca potansiyel riskleri azaltmakla kalmayıp günümüzde sürekli değişim halinde olan siber güvenlik ortamında uzun vadeli koruma ve sorumlu cihaz yönetimi için de kritik önem taşıyor.
Gelecekteki risklere karşı aygıt yazılımı güncellemeleri ve güçlü parolalar
Medyada çıkan son haberler aslen 2023’te tespit edilip açıklanan bir güvenlik açığını (CVE-2023-39780) konu alıyor. Cihazlarını güncel tutan ve güçlü bir yönetici parolasıyla koruma altına alan kullanıcılar, bu güvenlik açığının kötüye kullanılmasının önüne geçmiş oluyor ve ayrıca benzer saldırı yöntemlerini de engelliyor.
ASUS, kullanıcılarına en az 10 karakter uzunluğunda; büyük harf, küçük harf, rakam ve sembol içeren parolalar kullanmalarını öneriyor. Ayrıca aygıt yazılımını güncel tutmak da sürekli koruma sağlıyor.
Etkilenmiş olabilecek cihazlar kurtarılabilir
Aygıt yazılımının eski bir sürümü yüklü olan ve zayıf bir parola ile korunan cihazın ele geçirilmiş olabileceğinden şüphelenen kullanıcılar şu adımları takip ederek cihazı güvenli hâle getirebilir:
- Ürün yazılımını en son sürüme güncelleyin.
- Yetkisiz yapılan veya anormal ayarları temizlemek için fabrika ayarlarına dönün.
- Yukarıda tanımlandığı gibi güçlü bir yönetici parolası belirleyin.
Bu adımlar, cihazın tamamen güvenli olmasını sağlayıp kalmış olabilecek riskleri ortadan kaldırıyor.
Kullanım ömrü sona ermiş cihazlar da güvenli şekilde kullanılabilir
Artık ürün yazılımı güncellemesi almayan, kullanım ömrü sona ermiş cihazlar için aşağıdaki yöntemler öneriliyor:
- Cihaz için mevcut olan en son aygıt yazılımı sürümünü yükleyin.
- Güçlü bir yönetici parolası kullanın.
- SSH, DDNS, AiCloud veya WAN üzerinden Web Erişimi gibi tüm uzaktan erişim özelliklerini devre dışı bırakın.
Bunları yapan kullanıcılar, son haberlere konu olan saldırı yöntemlerini etkili biçimde engelleyebilir.
Şüpheli olaylar için isteğe bağlı kontroller
Kullanıcılar, cihazlarında yetkisiz erişim belirtileri olup olmadığını anlamak için aşağıdaki kontrolleri yapabilir:
- SSH hizmetinin (özellikle TCP port 53282) internete açık olmadığından emin olun.
- Sistem Günlüğü'nde tekrar eden oturum açma hataları veya tanıdık olmayan SSH anahtarlarını kontrol edin.
- Şüpheli bir durum fark edilirse yukarıdaki önerileri izleyerek olası tehditleri tamamen ortadan kaldırın.
ASUS, kullanıcılarının güvenliğini tamamen sağlamaya son derece kararlı. Desteklenen modeller için aygıt yazılımı güncelleme bildirimleri ve güvenlik önerileri sürekli yayınlanıyor. Daha fazla destek için ASUS Müşteri Hizmetleri ekibiyle iletişime geçmek mümkün.
Bize olan güveniniz ve desteğiniz için çok teşekkür ederiz."
Bu haberi ve diğer DH içeriklerini, gelişmiş mobil uygulamamızı kullanarak görüntüleyin:

