Bir ay süren hackleme kampanyasında 9.000’den fazla ASUS yönlendiricisi, Geynoise Warn’ın araştırmacılarının bir botnet yaratılmasına bir başlangıç yapabileceği konusunda tehlikeye atıldı.
Bilgisayar korsanları, brute-force oturum açma girişimleri ve komut enjeksiyon güvenlik açığına dayanan kimlik doğrulama bypass ile yönlendiricileri ihlal ediyor, CVE-2023-39780sistem komutlarını yürütmek için, Geynoise araştırmacıları bir blog yazısında dedi Çarşamba günü.
Geynoise, Greynoise kıdemli araştırmacısı Matthew Remacle’e göre, Greynoise ilk olarak Mart ayında Asus yönlendiricilerine yapılan üç şüpheli HTTP sonrası isteği işaretlediğinde tespit etti.
Greynoise’e göre ASUS, yakın tarihli bir ürün yazılımı güncellemesinde güvenlik açığı için bir yama yayınladı, ancak ilk bypass girişimleri CVES almadı. Buna ek olarak, araştırmacılar, ürün yazılımı güncellenmeden önce bir yönlendiriciden ödün verilirse, güvenli kabuk protokolü erişimi açıkça devre dışı bırakılmadıkça cihazlarda bir arka kapı kalacağını söylüyor.
Geynoise’nin etkilenen cihaz sayısı sayısı Censys’den taramalar.
Araştırmacılar hackleme kampanyasını atfetmediler, ancak kullanılan taktikler ileri süren tehdit (APT) gruplarıyla tutarlıdır. Bilgisayar korsanları, yeniden başlatmalar ve ürün yazılımı yükseltmeleri sonrasında bile cihazların kontrolünde kalacaktır.
Grinnoise, hükümet yetkililerinin ve endüstri ortaklarının şirketten kusurları ifşa etme ve düzeltme sürecini koordine ederken kamu açıklamasını geciktirmelerini istediğini söyledi.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) sözcüsü açıklama hakkında yorum yapmayı reddetti ve soruları ASUS’a yönlendirdi.
Bir Sekoia raporu Geçen hafta piyasaya sürülen, hackleme kampanyasını, bir balkota benzer bir ağ oluşturmak amacıyla 5.500’den fazla cihazı tehlikeye atan Vicioustrap olarak adlandırılan bir tehdit oyuncusu ile ilişkilendiriyor.
Vicioustrap, Sekoia araştırmacılarına göre, küçük ofis/ev ofis (SOHO) yönlendiricileri, süpürgelik yönetim denetleyicileri, dijital video kaydediciler ve diğer cihazlar da dahil olmak üzere çok çeşitli kenar cihazlarını izliyor.
Firma, vicioustrap’ı Cisco Küçük İşletme Yönlendiricilerinin Web Yönetimi Arayüzünde bir güvenlik açığının sömürülmesine bağladı. CVE-2023-20118. Güvenlik açığı, bir saldırganın kök düzeyinde ayrıcalıklar kazanmasına ve yetkisiz verilere erişmesine izin verir.
Cisco bunu söyledi güvenlik açığını ele almak için güncellemeler yayınlamazancak yöneticilerin cihazlarda etkilenen bir özelliği devre dışı bırakmasına yardımcı olmak için rehberlik yayınladı.