Asus tarafından üretilen binlerce ev ve küçük ofis yönlendiricisi, yeniden başlatmalara ve firmware (donanım yazılımı) güncellemelerine rağmen kalıcılığını koruyan gizli bir arka kapı içeren bir saldırıyla enfekte ediliyor. Güvenlik araştırmacılarına göre bu saldırı, bir ulus-devlet ya da yüksek kaynaklara sahip başka bir tehdit aktörü tarafından gerçekleştiriliyor olabilir.
Saldırganlar, artık yamalanmış bazı güvenlik açıklarını — bunların bazıları uluslararası tanınan CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) sistemi tarafından hiç takip edilmemiş — kullanarak cihazlara erişim sağlıyor. Yönlendirici üzerinde yetkisiz yönetici kontrolü ele geçirildikten sonra, saldırgan SSH üzerinden erişim sağlamak için cihaza bir açık anahtar (public key) yüklüyor. Bu noktadan itibaren, özel anahtara (private key) sahip herhangi biri cihazda sistem yöneticisi yetkileriyle otomatik olarak oturum açabiliyor.
“Bu saldırganın erişimi, hem yeniden başlatmalara hem de firmware güncellemelerine dayanıklıdır; yani etkilenen cihazlar üzerinde uzun süreli kontrol sağlar,” diye açıkladı GreyNoise adlı güvenlik firmasından araştırmacılar Çarşamba günü. “Saldırgan, uzun vadeli erişimini herhangi bir kötü amaçlı yazılım bırakmadan veya bariz izler bırakmadan sürdürmektedir. Bunu, kimlik doğrulama atlatmalarını zincirleyerek, bilinen bir güvenlik açığını kullanarak ve yasal yapılandırma özelliklerini suistimal ederek başarıyor.”
GreyNoise, dünya genelinde yaklaşık 9.000 cihazın bu devam eden kampanya kapsamında arka kapı ile ele geçirildiğini ve bu sayının artmaya devam ettiğini bildirdi. Firma araştırmacıları, tehdit aktörünün bu cihazları herhangi bir faaliyette kullandığına dair bir belirti bulunmadığını da ekledi. Görünüşe göre bu saldırılar, tehdit aktörünün gelecekte kullanmak üzere büyük sayıda ele geçirilmiş cihaz toplamasının ilk aşamalarını oluşturuyor.
GreyNoise, kampanyayı Mart ortasında tespit ettiğini ve şirketin ismi açıklanmayan bazı devlet kurumlarını bilgilendirdikten sonra raporu yayımladığını belirtti. Bu ayrıntı da tehdit aktörünün bir ulus-devlet ile bağlantılı olabileceğini düşündürüyor.
GreyNoise araştırmacıları, gözlemlenen bu etkinliğin, geçen hafta başka bir güvenlik firması olan Sekoia tarafından rapor edilen daha büyük bir kampanyanın parçası olduğunu da belirtti. Sekoia araştırmacılarına göre, ağ istihbarat firması Censys tarafından yapılan internet taramaları, 9.500’e kadar Asus yönlendiricisinin, bilinmeyen tehdit aktörünü izlemek için kullanılan “ViciousTrap” adlı saldırı altında olabileceğini gösteriyor.
Saldırganlar, cihazlara arka kapı yerleştirmek için birden fazla güvenlik açığını kullanıyor. Bunlardan biri, sistem komutlarının çalıştırılmasına olanak tanıyan bir komut enjeksiyonu açığı olan CVE-2023-39780’dir. Asus, bu açığı yakın zamanda bir firmware güncellemesiyle yamalamıştır. Diğer güvenlik açıkları da yamanmış olmasına rağmen, bilinmeyen nedenlerle CVE takibi almadı.
Kullanıcıların cihazlarının enfekte olup olmadığını anlayabilmesinin tek yolu, yapılandırma panelinden SSH ayarlarını kontrol etmektir. Enfekte olmuş yönlendiricilerde, cihazın 53282 numaralı port üzerinden SSH ile giriş yapılmasına olanak tanıyan ve şu şekilde başlayan bir dijital sertifika anahtarı görünür:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Arka kapıyı kaldırmak isteyen kullanıcıların, bu anahtarı ve port ayarını silmeleri gerekmektedir.
Ayrıca, sistem günlüklerinde aşağıdaki IP adreslerinden erişim sağlandığına dair kayıtlar varsa, kullanıcıların hedef alınmış olma ihtimali yüksektir:
101.99.91[.]151
101.99.94[.]173
79.141.163[.]179
111.90.146[.]237
Her marka yönlendirici kullanıcısının, cihazlarının güvenlik güncellemelerini zamanında almasını sağladığından emin olması büyük önem taşımaktadır.
