Çoğunluğu kullanım ömrü dolmuş veya güncelliğini kaybetmiş cihazlardan oluşan binlerce ASUS WRT yönlendirici, altı güvenlik açığından yararlanan WrtHug Operasyonu adlı küresel bir kampanyayla ele geçirildi.
Geçtiğimiz altı ay boyunca, WrtHug Operasyonu’nda ele geçirilen ASUS cihazlarını arayan tarayıcılar dünya çapında “yaklaşık 50.000 benzersiz IP” tespit etti.
Güvenliği ihlal edilen cihazların çoğu Tayvan’da bulunan IP adreslerine sahipken, diğerleri Güneydoğu Asya, Rusya, Orta Avrupa ve Amerika Birleşik Devletleri’ne dağılmış durumda.
Çin’de, bu ülkeden bir tehdit aktörünün varlığına işaret edebilecek herhangi bir enfeksiyon gözlemlenmemesi dikkat çekicidir; ancak araştırmacılar, yüksek güvenirliğe sahip bir atıf için yeterli kanıt bulamadı.
SecurityScorecard’ın STRIKE araştırmacılarına göre, hedefleme ve saldırı yöntemlerine göre, WrtHug Operasyonu ile ilk olarak Mayıs ayında GreyNoise tarafından belgelenen AyySSHush kampanyası arasında bir bağlantı olabilir.
.jpg)
Kaynak: SecurityScorecard
WrtHug saldırıları
Saldırılar, çoğunlukla AC serisi ve AX serisi cihazlar olmak üzere ASUS WRT yönlendiricilerindeki komut ekleme kusurlarından ve bilinen diğer güvenlik açıklarından yararlanılmasıyla başlıyor.
STRIKE araştırmacılarına göre WrtHug kampanyası, saldırılarda aşağıdaki güvenlik sorunlarından yararlanabilir:
- CVE-2023-41345/46/47/48 – Token modülleri aracılığıyla işletim sistemi komut enjeksiyonu
- CVE-2023-39780 – büyük komut ekleme hatası (AyySSHush kampanyasında da kullanıldı)
- CVE-2024-12912 – keyfi komut yürütme
- CVE-2025-2492 – işlevlerin yetkisiz yürütülmesine yol açabilecek uygunsuz kimlik doğrulama kontrolü
Yukarıdaki güvenlik açıkları arasında kritik önem puanına sahip tek güvenlik açığı CVE-2025-2492 olarak öne çıkıyor. Nisan ayında ASUS’tan gelen bir güvenlik tavsiyesi, kusurun ciddiyeti ve bunun AiCloud özelliğinin etkin olduğu yönlendiricilerde hazırlanmış bir istek tarafından tetiklenebileceği konusunda uyarıda bulunmuştu.
SecurityScorecard bugün yayınlanan bir raporda “saldırganların bu vakada ASUS AiCloud hizmetinden yararlanarak hedefli bir küresel saldırı seti dağıttığı görülüyor” diyor.
Bu kampanya için bir risk göstergesi, ihlal edilen cihazların %99’unda ASUS tarafından oluşturulan standart sertifikanın yerini alan, AiCloud hizmetlerinde kendinden imzalı bir TLS sertifikasının bulunmasıdır. Yeni sertifika, yalnızca 10 yıl geçerli olan orijinaline kıyasla 100 yıllık kullanım ömrüne sahip olmasıyla dikkat çekti.
STRIKE araştırmacıları bu benzersiz sertifikayı 50.000 virüslü IP’yi tanımlamak için kullandı.
Kaynak: SecurityScorecard
AyySSHush kampanyasında olduğu gibi, saldırganlar ele geçirilen cihazın donanım yazılımını yükseltmez ve cihazı diğer tehdit aktörlerinin eline geçmeye açık bırakır.
Tehlike göstergelerine dayanarak araştırmacılar, WrtHug Operasyonu tarafından hedef alınan aşağıdaki ASUS cihazlarını belirledi:
• ASUS Kablosuz Yönlendirici 4G-AC55U
• ASUS Kablosuz Yönlendirici 4G-AC860U
• ASUS Kablosuz Yönlendirici DSL-AC68U
• ASUS Kablosuz Yönlendirici GT-AC5300
• ASUS Kablosuz Yönlendirici GT-AX11000
• ASUS Kablosuz Yönlendirici RT-AC1200HP
• ASUS Kablosuz Yönlendirici RT-AC1300GPLUS
• ASUS Kablosuz Yönlendirici RT-AC1300UHP
STRIKE, ele geçirilen yönlendiricilerin Çin’deki bilgisayar korsanlığı operasyonlarında gizli aktarma düğümleri, proxy oluşturma ve komuta ve kontrol altyapısını gizlemek için operasyonel aktarma kutusu (ORB) ağları olarak kullanılabileceğine inanıyor. Ancak rapor, uzlaşma sonrası operasyonlara değinmiyor ve belirli ayrıntılardan yoksun.
ASUS, WrtHug saldırılarında kullanılan tüm güvenlik açıklarını gideren güvenlik güncellemeleri yayınladı, bu nedenle yönlendirici sahiplerinin donanım yazılımlarını mevcut en son sürüme yükseltmeleri gerekiyor.
Cihaz artık destek altında değilse, kullanıcıların cihazı değiştirmeleri veya en azından uzaktan erişim özelliklerini devre dışı bırakmaları önerilir.
ASUS yakın zamanda çeşitli AC serisi modelleri etkileyen bir kimlik doğrulama atlama kusuru olan CVE-2025-59367’yi de düzeltti; bu kusur henüz yararlanılmamış olsa da yakında saldırganların cephaneliğine eklenebilecek.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.