ASUS, AiCloud’un etkin olduğu yönlendiricilerdeki kritik kimlik doğrulama atlama hatası da dahil olmak üzere dokuz güvenlik açığını düzeltmek için yeni bir aygıt yazılımı yayınladı.
AiCloud, birçok ASUS yönlendiriciyle birlikte gelen, onları uzaktan medya akışı ve bulut depolama için özel bulut sunucularına dönüştüren bulut tabanlı bir uzaktan erişim özelliğidir.
Tayvanlı elektronik üreticisinin açıkladığı gibi, CVE-2025-59366 güvenlik açığı “Samba işlevselliğinin istenmeyen bir yan etkisi tarafından tetiklenebilir ve potansiyel olarak belirli işlevlerin uygun yetkilendirme olmadan yürütülmesine izin verebilir.”
Ayrıcalıkları olmayan uzak saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda yol geçişini ve işletim sistemi komut ekleme zayıflığını zincirleyerek bu durumdan yararlanabilir.
Şirket Pazartesi günü yayınlanan bir danışma belgesinde, “ASUS, cihazlarınızı korumak için tüm kullanıcıların yönlendirici donanım yazılımlarını derhal en son sürüme güncellemelerini şiddetle tavsiye ediyor.” dedi.
“Yönlendiricinizi en yeni aygıt yazılımıyla güncelleyin. Yeni aygıt yazılımı çıktığında bunu yapmanızı öneririz.”
| Firmware | CVE |
|
3.0.0.4_386 serisi |
CVE-2025-59365 CVE-2025-59366 CVE-2025-59368 CVE-2025-59369 CVE-2025-59370 CVE-2025-59371 CVE-2025-59372 CVE-2025-12003 |
|
3.0.0.4_388 serisi |
|
|
3.0.0.6_102 serisi |
ASUS, hangi yönlendirici modellerinin etkilendiğini belirtmese ve yalnızca hangi aygıt yazılımı sürümlerinin bu güvenlik açığını giderdiğini belirtse de, aygıt yazılımı güncellemelerini almayacak kullanım ömrü sonu modellerine sahip kullanıcılar için hafifletici önlemler sağladı.
Yönlendiricilerine yama yapmadan olası saldırıları engellemek için kullanıcılara, WAN’dan uzaktan erişim, bağlantı noktası yönlendirme, DDNS, VPN sunucusu, DMZ, bağlantı noktası tetikleme ve FTP dahil olmak üzere İnternet’ten erişilebilen tüm hizmetleri devre dışı bırakmaları ve ayrıca CVE-2025-59366 saldırılarına karşı savunmasız AiCloud yazılımı çalıştıran cihazlara uzaktan erişimi kesmeleri önerilir.
ASUS ayrıca, saldırı yüzeyini azaltmak ve yönlendiricileri olası saldırılara karşı korumak için, yönlendirici yönetim sayfası ve kablosuz ağlar için güçlü parolalar kullanmak da dahil olmak üzere ek önlemler alınmasını da tavsiye etti.
Nisan ayında ASUS, AiCloud etkinleştirilmiş yönlendiricileri hedefleyen hazırlanmış bir istek tarafından tetiklenebilecek başka bir kritik kimlik doğrulama atlama kusurunu (CVE-2025-2492) yamaladı.
Diğer altı güvenlik açığıyla birlikte CVE-2025-2492, Tayvan ve Güneydoğu Asya, Rusya, Orta Avrupa ve Amerika Birleşik Devletleri’ndeki kullanım ömrü dolmuş veya güncelliğini kaybetmiş cihazları hedef alan WrtHug Operasyonu adlı küresel bir kampanyada binlerce ASUS WRT yönlendiricisinin ele geçirilmesi için kullanıldı.
Saldırıları tespit eden SecurityScorecard araştırmacıları, ele geçirilen yönlendiricilerin Çin’deki bilgisayar korsanlığı operasyonlarında operasyonel aktarma kutuları (ORB) olarak, komuta ve kontrol altyapısını proxy olarak kullanmak ve gizlemek için gizli aktarma düğümleri olarak kullanılabileceğine inanıyor.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.