Uç nokta güvenliği, Nesnelerin İnterneti Güvenliği
Kalıcı saldırı, istismar yoluyla uzak SSH erişimi verir
Prajeet Nair (@prajeaetspeaks) •
29 Mayıs 2025
Birisi – muhtemelen ulus -devlet bilgisayar korsanları – bir ürün yazılımı yaması ve yeniden başlatılan binlerce ASUS yönlendiricisinden bir botnet inşa ediyor gibi görünüyor. Araştırmacılar, yaklaşık 9.000 yönlendiriciden ödün verildi ve sayı artıyor.
Ayrıca bakınız: Ondemand | Güvenilir bir AI yaklaşımı ile verilerinize yeni bir hayat solumak
Güvenlik firması Greynoise Salı günü, bilgisayar korsanlarının, yönlendiricileri enfekte etmek için CVE-2023-39780 olarak izlenen bir komut enjeksiyon kusuru da dahil olmak üzere bilinen ve daha önce belgelenmemiş güvenlik açıklarının bir karışımını kullandığı konusunda uyardı.
Dahil olan Tradecraft, muhtemelen bir operasyonel röle kutusu oluşturan “iyi kaynaklanmış ve son derece yetenekli bir düşman” önermektedir. Küreler, tehlikeye atılan Nesnelerin İnterneti cihazlarının girdabından zıplayarak hain faaliyetleri gizlemek için dünyanın dört bir yanındaki istihbarat teşkilatları da dahil olmak üzere gelişmiş kalıcı tehdit grupları tarafından benimsenen bir yöntemdir. Bir siber güvenlik şirketi onları bir VPN ve bir botnet’in yavruları olarak tanımlıyor (bkz:: Orb Ağ Saldırılarına Bağlı Çin Siber Teslim Grupları).
Greynoise, ilk olarak 18 Mart’ta kampanyayı fark ettiğini ve yönlendiricileri “Ayysshush” ı desteklemek için kullanılan tekniği dublaj ettiğini söyledi. İzinsiz giriş zinciri, CVV’lere sahip olmayan kaba kuvvet giriş denemeleri ve iki kimlik doğrulama baypas yöntemi ile başlar. Erişim kazandıktan sonra, saldırganlar TrendMicro tarafından ASUS yönlendiricilerine gömülü bir güvenlik özelliğini etkinleştirmek için CVE-2023-39780’den yararlanır.
“İroni? En iyi skor. Görmeyi seviyorsun,” diye yazdı Geynoise araştırmacısı Matthew Remacle.
Özellik, “bant genişliği sqllite günlüğü” sağlar ve saldırganların doğrudan bir dizeye geçmesine izin verir system() Arama. Bu güçle, saldırganlar güvenli bir kabuğu etkinleştirir ve bir TCP bağlantı noktasına bağlar ve saldırgan kontrollü bir genel anahtar ekler. Bu, ürün yazılımı güncellemelerini hack’e karşı iktidarsız hale getiren adımdır. Remacle, “Bu anahtar resmi ASUS özellikleri kullanılarak eklendiğinden, bu yapılandırma değişikliği ürün yazılımı yükseltmeleri arasında devam eder. Daha önce kullanıldıysanız, ürün yazılımınızı yükseltmek SSH arka kapısını kaldırmaz.”
Censys Arama Kayıtları Yayın itibariyle 8.645 tehlikeye atılan yönlendirici.
ASUS, son ürün yazılımı güncellemelerinde CVE-2023-39780 yamalı. Ancak, Yama yapmadan önce tehlikeye atılan cihazlar, yöneticiler SSH yapılandırmalarını gözden geçirmedikçe ve saldırganın anahtarını kaldırmadıkça arka kapıyı barındırabilir. Greynoise, şüpheli uzlaşmalar için tam bir fabrika sıfırlaması önerir.