Araştırmacılar, ASUS tarafından üretilen binlerce ev ve küçük ofis yönlendiricisine, kimliği belirsiz kişi/kişiler tarafından yapılan saldırıda yeniden başlatma ve ürün yazılımı güncellemelerinden kurtulabilen gizli bir arka kapı bulaştığını söyledi.
Kimliği belirsiz saldırganlar, bazıları uluslararası kabul görmüş CVE sistemi aracılığıyla hiç takip edilmemiş olan ve bazı güvenlik açıklarından yararlanarak cihazlara erişim kazanıyor. Cihazların yetkisiz idari kontrolünü ele geçirdikten sonra tehdit aktörleri, SSH aracılığıyla cihaza erişim için genel bir şifreleme anahtarı yüklüyor. O andan itibaren, özel anahtara sahip olan herkes otomatik olarak yönetici sistem haklarıyla cihazda oturum açabilecek duruma geliyor.
GreyNoise, Konu Hakkında Bazı Açıklamalarda Bulundu
Güvenlik firması GreyNoise‘dan araştırmacılar çarşamba günü şu açıklamayı yaptı: “Saldırgan, hem yeniden başlatmalarda hem de ürün yazılımı güncellemelerinde saldırıdan etkilenen cihazlar üzerinde kalıcı kontrol sağlıyor. Tehdit unsuru/unsurları, kimlik doğrulama atlamalarını zincirleyerek ve meşru yapılandırma özelliklerini kötüye kullanarak kötü amaçlı yazılım bırakmadan, izini kaybettirerek uzun süreli erişimi sürdürüyor.”
GreyNoise, yaşanan bu arka kapı saldırısına (backdoor attack) uğrayan dünya çapında yaklaşık 9.000 cihazın olduğunu söyledi. Ne yazık ki bu sayı artmaya da devam ediyor. Şirket araştırmacıları, saldırganın virüs bulaşmış cihazları herhangi bir faaliyette kullandığına dair ellerinde hiçbir gösterge olmadığını söyledi. Aksine saldırılar, saldırganın gelecekte kullanmak üzere çok sayıda tehlikeye atılmış cihaz biriktirmesinin başlangıç aşamaları gibi görünüyor.
GreyNoise, yaşanan durumu mart ayı ortasında tespit ettiğini ve şirketin adı açıklanmayan devlet kurumlarına bildirimde bulunana kadar raporlamayı ertelediğini söyledi. Bu ayrıntı, tehdit aktörünün bir ulus-devletle bağlantısı olabileceğini düşündürüyor.
Şirket araştırmacıları, gözlemledikleri faaliyetin geçen hafta diğer güvenlik şirketi Sekoia tarafından bildirilen daha büyük bir olayın parçası olduğunu ifade etti. Sekoia’daki araştırmacılar, ağ istihbarat firması Censys tarafından yapılan internet taramasının, ViciousTrap (bilinmeyen tehdit aktörüne verilen kod adı) tarafından 9.500 kadar ASUS routerın tehlikeye atılmış olabileceğini gösterdiğini söyledi.
Saldırganlar, birden fazla güvenlik açığından faydalanarak cihazları ele geçiriyor. GreyNoise, bu açıklardan birinin sistem komutlarının yürütülmesine izin veren bir komut açığı olan CVE-2023-39780 olduğunu söyledi. Geri kalan güvenlik açıkları yamansa da, bilinmeyen nedenlerden dolayı CVE izleme atamalarının alınmadığı tespit edildi.
Router kullanıcılarının cihazlarına virüs bulaşıp bulaşmadığını belirlemesinin tek yolu, yapılandırma panelindeki SSH ayarlarını kontrol etmekten geçiyor. Virüs bulaşmış yönlendiriciler, cihazın 53282 numaralı bağlantı noktası üzerinden SSH ile şu şekilde kesilmiş bir anahtarla dijital sertifika kullanılarak oturum açılabileceğini gösterecek: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
Arka kapıyı kaldırmak için, virüs bulaşmış kullanıcılarının anahtarı ve bağlantı noktası ayarını da kaldırmaları gerekiyor.
Kullanıcılar ayrıca sistem kayıtlarında 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 veya 111.90.146[.]237 IP adreslerini ekranda görüyorlarsa, hedef alınıp alınmadıklarını belirleyebilirler. Öte yandan herhangi başka bir yönlendirici markasının kullanıcılarının, cihazlarının güvenlik güncellemelerini zamanında aldığından her zaman emin olması gerekiyor. Yaşanan bu durum şimdilik ASUS marka cihazları etkilese de, bu durumun benzerinin diğer yönlendiriciler için de yaşanmayacağının hiçbir garantisi yok. Bu yüzden hangi markayı kullanırsanız kullanın, güvenlik güncelleştirmelerini yapmayı asla ihmal etmeyin.
Kaynak: arsTECHNICA
