Grinnoise Research, dünya çapında 9.000’den fazla ASUS yönlendiricisini tehlikeye atan sofistike bir siber saldırı kampanyasını kamuoyuna açıkladı.
İlk olarak Greynoise’in tescilli yapay zeka ile çalışan analiz aracı tarafından tespit edilen, 18 Mart 2025 tarihinde, kampanya kaba kuvvet saldırıları, kimlik doğrulama baypasları ve bilinen bir komuta enjeksiyon kırılganlığı (CVE-2023-39780) bir kombinasyondan yararlanmaktadır.
Saldırganların taktikleri ve kampanyanın gizliliği, somut bir atıf yapılmamış olsa da, son derece yetenekli, muhtemelen ulus devlet, düşmanın katılımını önermektedir.
.png
)
Tipik kötü amaçlı yazılım kampanyalarından farklı olarak, bu operasyon kalıcılık oluşturmak için meşru ASUS yönlendirici özelliklerini kötüye kullanır.
Bir cihaz tehlikeye atıldıktan sonra, saldırganlar standart olmayan bir bağlantı noktasına (TCP/53282) SSH erişimini sağlar ve uzaktan erişim için kendi SSH genel anahtarlarını yerleştirir.
Yapılandırma değişiklikleri, yönlendiricinin uçucu olmayan belleğinde (NVRAM) saklanır, bu da arka kapının hem ürün yazılımı yükseltmelerinden hem de cihaz yeniden başlatmalarından kurtulmasına izin verir.
Teknik Saldırı Zinciri:
Saldırı çok aşamalı bir süreçte ortaya çıkıyor:
- İlk Erişim: Saldırganlar, yönlendiricinin savunmalarına nüfuz etmek için kaba kuvvet oturum açma girişimleri ve açıklanmayan iki kimlik doğrulama bypass tekniklerini (henüz CVES atamamış) kullanırlar.
- Komut yürütme: Erişim kazandıktan sonra, keyfi sistem komutlarını yürütmek için bir komut enjeksiyon kusuru olan CVE-2023-39780’den yararlanırlar.
- Kalıcılık: SSH erişimi resmi ASUS yapılandırma ayarları aracılığıyla etkinleştirilir ve özel saldırgan kontrollü SSH tuşu eklenir. Bu değişiklikler NVRAM’a yazılır ve ürün yazılımı güncellemeleri veya yeniden başlatmalarından sonra bile kalıcılık sağlar.
- Gizlilik: Tespitten kaçınmak için saldırganlar yönlendirici günlüğünü devre dışı bırakır ve Micro’nun aiprotection güvenlik özelliklerini trend eder. Kötü amaçlı yazılım yüklenmez ve şüpheli dosya bırakılmaz, bu da işlemi standart izleme araçlarına neredeyse görünmez hale getirir.
Greynoise’in Sift Aracı, ASUS yönlendirici uç noktalarını hedefleyen sadece üç anormal HTTP sonrası isteklerini işaretledi ve bu da kampanyanın keşfedilmesine yol açtı.
Saldırının incelikleri, yaklaşık 9.000 yönlendiricinin tehlikeye atılmasına rağmen, üç ay boyunca sadece 30 ilgili ağ olayının gözlemlenmesi nedeniyle vurgulanmaktadır.
Uzlaşma ve azaltma adımlarının göstergeleri
Kampanyanın kapsamı küresel, Censys taramaları 27 Mayıs 2025 itibariyle yaklaşık 9.000 etkilenen ASUS yönlendiricisini doğruladı.
Uzlaşmanın temel göstergeleri şunları içerir:
- TCP Port 53282’de çalışan SSH Sunucusu
- Yönlendiricinin yapılandırmasında yetkisiz SSH genel anahtarları
- Devre Dışı Günlük ve Güvenlik Özellikleri
- Aşağıdaki IP adreslerinin katılımı:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
ASUS, CVE-2023-39780’i yamaladı ve son ürün yazılımı güncellemelerinde ilk kimlik doğrulama bypass.
Ancak, SSH arka kapı ve yapılandırma değişiklikleri, ürün yazılımı yükseltmeleri tarafından kaldırılmaz. Güncellemeden önce bir yönlendirici tehlikeye atıldıysa, SSH yapılandırmaları manuel olarak gözden geçirilmedikçe ve yetkisiz tuşlar kaldırılmadıkça arka kapı devam eder.
Kullanıcılar ve yöneticiler için öneriler:
- TCP/53282’de SSH erişimi olup olmadığını kontrol edin.
- Gözden geçirin
authorized_keysYetkisiz girişler için dosya. - Listelenen kötü niyetli IP’leri ağ çevresindeki engelleyin.
- Bir uzlaşma şüpheleniliyorsa, tam bir fabrika sıfırlama yapın ve cihazı manuel olarak yeniden yapılandırın.
Bu kampanya, yönlendirici tabanlı saldırıların artan karmaşıklığını ve proaktif izleme, düzenli yapılandırma incelemelerinin ve gelişen tehditlere karşı savunmak için güvenlik yamalarının derhal uygulanmasını vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!