9.000 Asus router cihazı sessizce ele geçirildi: Kalıcı arka kapı tespit edildi

GreyNoise, kalıcı arka kapıyı ortaya çıkardı
Güvenlik şirketi GreyNoise tarafından yayımlanan son rapora göre, dünya genelinde yaklaşık 9.000 Asus marka router cihazı, kullanıcıların bilgisi dışında gizli bir arka kapı ile ele geçirilmiş durumda. Saldırganların, daha önce Asus tarafından yaması yayınlanan ancak bazıları kamuoyunda pek bilinmeyen güvenlik açıklarını kullanarak router cihazlarına erişim sağladığı belirtiliyor.

CVE-2023-39780 açığı kritik rol oynadı
Kullanılan açıklardan biri CVE-2023-39780 olarak tanımlanan komut enjeksiyon açığı. Bunun yanı sıra CVE sistemi üzerinden takip edilmeyen açıkların da kullanıldığı bildirildi. Bu da saldırının iz bırakmadan ve dikkat çekmeden gerçekleşmesini kolaylaştırıyor.

Kalıcı kontrol sağlayan SSH anahtarı
Sisteme sızan saldırganlar, router cihazına özel bir SSH anahtarı yerleştirerek kalıcı erişim elde ediyor. Bu anahtara sahip olan kişiler, cihazlara yönetici haklarıyla otomatik olarak bağlanabiliyor. Daha da çarpıcı olan ise, bu erişimin cihaz yeniden başlatıldığında veya firmware güncellemeleri yapıldığında bile geçerliliğini sürdürmesi. GreyNoise araştırmacıları, bu durumun cihazlar üzerinde kalıcı bir kontrol sağladığını aktarıyor.

Devlet destekli siber tehdit şüphesi
Araştırmalara göre, saldırılar Malezya, Avrupa ve Asya kaynaklı IP adreslerinden geliyor. Bu da saldırının arkasında devlet destekli bir aktör olabileceği ihtimalini gündeme getiriyor. İlk belirtiler Mart ayının ortasında tespit edildi ve durum, GreyNoise tarafından ilgili devlet kurumlarına bildirildikten sonra kamuoyuna duyuruldu. Güvenlik firması Sekoia da geçtiğimiz hafta benzer verileri paylaştı. Sekoia'nın analizlerine göre saldırı, ViciousTrap adlı bilinmeyen bir tehdit grubu tarafından gerçekleştirilmiş olabilir.

Kullanıcılar ne yapmalı?
Asus router kullanıcılarının cihazlarını kontrol etmeleri öneriliyor. SSH ayarlarında şu yapılandırmanın bulunup bulunmadığına dikkat edilmeli:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

Eğer bu tür bir anahtar veya port 53282 üzerinden açık bir SSH bağlantısı varsa, cihaz yüksek olasılıkla saldırıya uğramış demektir. Bu durumda, kullanıcıların ilgili anahtarı ve port ayarını manuel olarak silmeleri gerekiyor. Ayrıca aşağıdaki IP adreslerinden gelen bağlantıların sistem günlüklerinde yer alıp almadığı kontrol edilmeli:

• 101.99.91[.]151

• 101.99.94[.]173

• 79.141.163[.]179

• 111.90.146[.]237

Uzmanlar, yalnızca Asus değil tüm router kullanıcılarının düzenli yazılım güncellemeleri yapmalarını ve varsayılan yönetici şifrelerini değiştirmelerini tavsiye ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI