Asus, dünya genelinde 9000'den fazla router'ı etkileyen yüksek profilli bir botnet saldırısı hakkında birden fazla açıklama yaptı. "AyySSHush" olarak bilinen bu botnetin, kaba kuvvet saldırıları ve kimlik doğrulama atlama yöntemleri kombinasyonunu kullanarak cihazlara sızdığı belirtiliyor. Botnet, kötü amaçlı yazılımı kalıcı belleğe gizleyerek firmware güncellemelerinden ve sıfırlamalardan kaçınmaya çalışıyor.
Şirket, yayınladığı resmi açıklamalarda, henüz enfekte olmamış kullanıcıların bu güvenlik açıklarından korunabileceğini ve cihazları tehlikeye girenlerin ise durumu düzeltebileceğini belirtti. Saldırganların, bilinen bir komut enjeksiyon güvenlik açığını (CVE-2023-39780) kullandığı, bu sayede özel bir port (TCP/53282) üzerinden SSH erişimini etkinleştirdiği ve uzaktan erişim için saldırgan kontrollü bir ortak anahtar eklediği ifade edildi.
Bu güvenlik açığı, Asus'un en son firmware güncellemesiyle kapatıldı. Bu nedenle Asus, tüm router kullanıcılarına firmware'lerini güncellemelerini şiddetle tavsiye ediyor. Güncellemenin ardından, Asus cihazlarına fabrika ayarlarına sıfırlama yapılması ve güçlü bir yönetici şifresi belirlenmesi öneriliyor. Ürün ömrünü tamamlamış veya fabrika ayarlarına sıfırlama yapmak istemeyen ileri düzey kullanıcılar için ise Asus, "SSH, DDNS, AiCloud veya WAN'dan Web Erişimi gibi tüm uzaktan erişim özelliklerinin devre dışı bırakılmasını ve SSH'nin (özellikle TCP port 53282) internete açık olmadığının doğrulanmasını" tavsiye ediyor.
Bu botnet saldırısının, güvenlik araştırmacıları tarafından aylar önce tespit edildiği bilgisi paylaşıldı. Etkilenen router sayısının şu anda 9500'ün üzerinde olduğu tahmin ediliyor. Şirket, güvenlik açığı geniş çapta duyulur duyulmaz ilgili kullanıcılara firmware güncellemesi yapmaları konusunda anlık bildirimler gönderdiğini belirtti. Kullanıcılar ayrıca Asus'un ürün güvenlik uyarı sayfası ve özel olarak bu güvenlik açığını kapsayan güncellenmiş bilgi tabanı makalesi gibi kaynaklardan da faydalanabilirler.
Asus ayrıca, RT-AX55 gibi modellerdeki firmware güncellemeleri üzerinde, bu bilinen güvenlik açığına karşı korunmak amacıyla, güvenlik raporu yayınlanmadan çok daha önce çalışmaya başladığını iddia ediyor. CVE-2023-39780 raporları, Asus'un güvenlik açığından en son güvenlik raporu yayınlanmadan önce haberdar edildiğini gösteriyor.
Endişe duyan Asus router kullanıcıları, SSH'lerinin internete açık olmadığından emin olmalı ve geçmişteki kaba kuvvet saldırılarını gösteren tekrarlanan oturum açma hataları veya yabancı SSH anahtarları için router'larının günlüklerini kontrol etmeleri tavsiye ediliyor. Router'ları WAN erişimine ve açık internete maruz bırakmak tehlikeli sonuçlar doğurabilir. Botnet tarafından etkilenen hemen hemen tüm router'ların, son kullanıcıların neden olduğu oldukça savunmasız ve güvenli olmayan koşullarda çalıştığı düşünülüyor. Yine de, tüm web güvenliği konularında olduğu gibi, pişman olmaktansa tedbirli olmak ve router'lar ile diğer internete bağlı cihazların modern firmware üzerinde çalıştığından emin olmak en iyisidir.
