Güvenlik araştırmacıları, binlerce ev ve küçük ofis tipi Asus marka yönlendiricinin (router) gizli bir arka kapı ile enfekte olduğunu ve bu arka kapının cihaz yeniden başlatıldığında veya yazılımı güncellendiğinde bile kaldığını bildirdi. Bu saldırının, devlet destekli veya iyi kaynaklara sahip siber saldırganlar tarafından gerçekleştirildiği düşünülüyor.
Kimliği bilinmeyen saldırganlar, artık yamalanmış olan güvenlik açıklarını istismar ederek cihazlara erişim sağlıyor. Bazı istismar edilen açıkların uluslararası güvenlik açığı takip sistemlerinde bile yer almadığı belirtiliyor. Cihazların yönetici kontrolünü yetkisiz bir şekilde ele geçirdikten sonra, saldırganlar SSH üzerinden erişim için cihaza genel bir şifreleme anahtarı yüklüyor. Bu sayede, özel anahtara sahip olan herkes yönetici yetkileriyle cihaza otomatik olarak giriş yapabiliyor.
Kalıcı Erişim Sağlanıyor
Araştırmacılar, "Saldırganın erişimi hem cihazın yeniden başlatılmasından hem de yazılım (firmware) güncellemelerinden etkilenmeyerek, etkilenen cihazlar üzerinde kalıcı kontrolünü devam ettiriyor" dedi. Saldırganın, kimlik doğrulama atlatmalarını birleştirerek, bilinen bir güvenlik açığını istismar ederek ve meşru yapılandırma özelliklerini kötüye kullanarak kalıcı erişim sağladığı ve belirgin iz bırakmaktan kaçındığı belirtildi.
Güvenlik firması, devam eden bu saldırı kampanyasında dünya çapında yaklaşık 9.000 cihazın arka kapı ile enfekte olduğunu takip ettiklerini belirtti. Bu sayının artmaya devam ettiği ifade edildi. Araştırmacılar, saldırganın enfekte ettiği cihazları henüz herhangi bir aktivitede kullandığına dair bir belirti olmadığını söyledi. Bunun yerine, saldırıların gelecekte kullanmak üzere çok sayıda ele geçirilmiş cihaz toplama sürecinin başlangıç aşaması olduğu düşünülüyor.
Saldırı kampanyasının Mart ayı ortasında tespit edildiği ve ilgili devlet kurumlarına bilgi verildikten sonra kamuoyuna duyurulduğu bilgisi, tehdit aktörünün devletle bir bağlantısı olabileceği yönündeki şüpheleri güçlendiriyor. Güvenlik araştırmacıları, gözlemledikleri aktivitenin, daha önce başka güvenlik firmaları tarafından rapor edilen daha büyük bir kampanyanın parçası olduğunu ekledi.
Saldırganlar, birden fazla güvenlik açığını istismar ederek cihazlara arka kapı yüklüyor. Bunlardan biri, sistem komutlarının çalıştırılmasına izin veren bir komut çalıştırma hatası olan CVE-2023-39780. Bu açık, Asus tarafından yakın zamanda yayınlanan bir yazılım güncellemesiyle yamalandı. Geri kalan güvenlik açıklarının da yamalandığı, ancak bilinmeyen nedenlerle CVE takip kodu almadığı belirtildi.
Router kullanıcılarının cihazlarının enfekte olup olmadığını belirlemenin tek yolu, yapılandırma panelindeki SSH ayarlarını kontrol etmek. Enfekte olmuş yönlendiricilerde, cihazın 53282 numaralı port üzerinden SSH ile giriş yapılabildiğini gösteren, belirli bir dijital anahtar içeren bir ayar görünecektir.
Arka kapıyı kaldırmak için, enfekte olmuş kullanıcılar ilgili anahtarı ve port ayarını kaldırmalıdır. Ayrıca, sistem kayıtlarında 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 veya 111.90.146[.]237 gibi IP adreslerinden erişim olduğuna dair bir gösterge olup olmadığını kontrol ederek de hedef alınıp alınmadığını belirleyebilirler. Herhangi bir marka router kullanan kullanıcılar, cihazlarının güvenlik güncellemelerini her zaman zamanında aldığından emin olmalıdır.
