Asus marka binlerce yönlendirici (router), 'AyySSHush' adı verilen yeni keşfedilen bir botnet saldırısı nedeniyle tehlike altında. Siber güvenlik araştırmacıları tarafından Mart 2025'te tespit edilen bu sinsi saldırı, kimlik doğrulama açıklarından faydalanıyor ve yönlendiricinin kendi özelliklerini kullanarak kalıcı erişim sağlıyor. Dikkat çekici olan, bu arka kapının herhangi bir zararlı yazılım kullanmaması ve yazılım güncellemeleriyle dahi kaldırılamaması.
Saldırı, tehdit aktörlerinin kaba kuvvet (brute-force) oturum açma denemeleri ve kimlik doğrulama atlatma teknikleriyle yönlendiricileri hedef almasıyla başlıyor. Bu tekniklerin bazıları henüz belgelenmemiş durumda. Sisteme girdikten sonra, bilinen bir komut enjeksiyonu güvenlik açığı olan CVE-2023-39780'i kullanarak sistem düzeyinde komutlar çalıştırıyorlar. Bu yöntem, saldırganların yönlendiricinin ayarlarını, yazılımın içindeki meşru fonksiyonları kullanarak değiştirmesine olanak tanıyor.
Saldırganlar, kalıcı erişim sağlamak için Asus yönlendiricilerinin resmi özelliklerini kullanıyor. Standart olmayan bir bağlantı noktası (TCP 53282) üzerinden SSH erişimini etkinleştiriyor ve kendi genel SSH anahtarlarını yükleyerek uzaktan yönetim kontrolü elde ediyorlar. Arka kapı, yönlendiricinin kalıcı belleğine (NVRAM) yazıldığı için, hem yazılım güncellemelerinden hem de cihaz yeniden başlatmalarından etkilenmiyor. Ayrıca, sistem günlüklerini ve yönlendiricinin AiProtection gibi güvenlik özelliklerini devre dışı bırakarak tespit edilmelerini zorlaştırıyorlar.
Yapılan araştırmalara göre, saldırganların kullandığı teknikler, uzun vadeli erişim için kapsamlı bir planlama yapıldığını ve sistem mimarisi hakkında derinlemesine bilgi sahibi olduklarını gösteriyor. İnternet bağlantılı cihazları izleyen platformlardan alınan verilere göre, 9.000'den fazla Asus yönlendiricinin bu saldırıdan etkilendiği doğrulandı. Bu durum, devam eden kampanyanın hem ölçeğini hem de sinsiliğini daha net ortaya koyuyor.
Güvenlik açığının keşfi, bir siber güvenlik firmasının yapay zeka destekli analiz aracı kullanılarak yapıldı. Araç, derinlemesine inceleme için Asus yönlendirici uç noktalarını hedef alan sadece üç HTTP POST isteğini işaretledi. Bu istekler, fabrika yazılımıyla çalışan emüle edilmiş Asus profilleri kullanılarak gözlemlendi. Şaşırtıcı bir şekilde, üç aylık bir süre boyunca binlerce cihazı tehlikeye atmasına rağmen, araç sadece 30 kötü niyetli istek tespit etti.
Asus, CVE-2023-39780'i ve ilk belgelenmemiş oturum açma atlatma tekniklerini ele alan yeni bir yazılım güncellemesi yayınladı. Ancak bu güncelleme daha çok önleyici bir tedbir niteliğinde. Daha önce sömürülmüş herhangi bir yönlendirici için yazılımı güncellemek, SSH arka kapısını kaldırmayacaktır. Bunun nedeni, kötü niyetli yapılandırma değişikliklerinin kalıcı bellekte depolanması ve standart yazılım güncellemeleri sırasında üzerine yazılmamasıdır.
Yönlendiricilerin tamamen güvence altına alınması için kullanıcıların ek manuel adımlar atması öneriliyor. Bunlar arasında TCP port 53282'de aktif SSH erişimi olup olmadığının kontrol edilmesi, yetkilendirilmiş anahtarlar (authorized_keys) dosyasının bilinmeyen girişler için gözden geçirilmesi ve saldırıyla ilişkili olabilecek bilinen kötü niyetli IP adreslerinin engellenmesi yer alıyor. Bir cihazın ele geçirildiğinden şüpheleniliyorsa, en iyi yöntem tam bir fabrika ayarlarına döndürme işlemi yapmak ve ardından yönlendiriciyi baştan yeniden yapılandırmaktır.
