Güvenlik firması GreyNoise tarafından açıklanan yeni bir rapora nazaran, dünya genelinde yaklaşık 9.000 Asus router aygıtında kalıcı ve zımnî bir art kapı ile ele geçirilmiş durumda. Kelam konusu art kapı, aygıtların yönetici erişimini büsbütün ele geçiren bir SSH anahtarı üzerinden çalışıyor ve kullanıcı farkında olmadan aygıtın denetimini dış kaynaklara açıyor. Cihazlar art kapı ile ele geçirildi
Saldırganlar, daha evvel Asus tarafından yamalanmış bir dizi güvenlik açığını kullanarak aygıtlara erişim sağlıyor. Bunlardan biri CVE-2023-39780 olarak takip edilen komut enjeksiyon açığı. Lakin öbür kullanılan açıkların CVE sistemi üzerinden takip edilmediği, münasebetiyle kamuoyunda pek bilinmediği belirtiliyor. Bu durum, atağın bilhassa sessiz ve iz bırakmadan gerçekleştirilmesini sağlıyor.
Erişimi sağladıktan sonra saldırganlar, router aygıtına özel bir SSH anahtarı yerleştiriyor. Bu anahtar sayesinde, özel anahtara sahip şahıslar aygıtlara otomatik olarak yönetici haklarıyla erişebiliyor. Daha da tasa verici olan ise bu erişimin cihaz tekrar başlatıldığında yahut firmware güncellendiğinde dahi geçerliliğini müdafaası.
GreyNoise’dan araştırmacılar “Saldırganın erişimi hem tekrar başlatmalarda hem de eser yazılımı güncellemelerinde hayatta kalarak etkilenen aygıtlar üzerinde kalıcı denetim sağlıyor.” diyor.
Araştırmacılar, art kapı ile ele geçirilen aygıtların şimdi etkin bir akın için kullanılmadığını, lakin büyük çaplı bir atak için “hazırlık evresi” olabileceğini kıymetlendiriyor. Tespit edilen IP adreslerinden yapılan erişimler; Malezya, Avrupa ve Asya kökenli olabilir. Bu da akının gerisinde bir devlet takviyeli aktör olabileceği ihtimalini güçlendiriyor.
Söz konusu olaya dair birinci izler Mart ortasında fark edildi. GreyNoise, durumu ilgili devlet kurumlarına bildirdikten sonra kamuoyuna açıklama yaptı. Mevzu hakkındaki bilgiler geçtiğimiz hafta Sekoia isimli diğer bir güvenlik firması tarafından da paylaşılmıştı. Sekoia’nın tahlillerine nazaran bu atak ViciousTrap isimli bilinmeyen bir tehdit kümesi tarafından yürütülüyor olabilir.
Kullanıcılar ne yapmalı?
Asus router kullanıcılarının aygıtlarını denetim etmesi öneriliyor. Bilhassa SSH ayarlarında şu anahtar yapılandırmasının yer alıp almadığına dikkat edilmeli: “ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…”
Eğer bu tıp bir anahtar ve port 53282 üzerinden açık bir SSH kontağı varsa, aygıt yüksek ihtimalle enfekte olmuş demektir. Bu durumda kullanıcıların ilgili anahtarı ve port ayarını silerek art kapıyı manuel olarak kaldırması gerekiyor.
Ayrıca aşağıdaki IP adreslerinden gelen erişim kayıtları sistem log’larında yer alıyorsa, aygıtın gaye alındığı anlaşılabilir:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
Uzmanlar, sırf Asus değil tüm marka router kullanıcılarının güvenlik güncellemelerini tertipli olarak denetim etmesini ve varsayılan yönetici şifrelerini değiştirmesini öneriyor.
