Asus yönlendirici kullanıcıları, firmware güncellemelerine rağmen devam eden bir arka kapı kampanyasına maruz kalabilir.
Asus yönlendiricileri, GreyNoise adlı siber güvenlik firması tarafından yapılan açıklamalara göre bir arka kapı kampanyasına maruz kalmıştır. Bu kampanya, firmware güncellemeleri sonrasında bile devam ediyor. GrayNoise, 28 Mayıs’ta, hükümet ve sanayi ortaklarıyla koordine ederek bulgularını paylaştı.
GreyNoise, bu kampanyayı 18 Mart 2025 tarihinde keşfetti. Yapay zeka destekli ağ analiz aracı Sift kullanarak, fabrika firmware’i ile çalışan internet açık Asus yönlendiricilerine yönelik anormal HTTP POST isteklerini tespit etti.
Etki Alanında Hedef Alınan Modeller
Etkilenen yönlendirici modelleri arasında popüler RT-AC3100, RT-AC3200 ve RT-AX55 bulunmaktadır. Yapılan takip incelemeleri, aylarca fark edilmeden devam eden gizli bir saldırı kampanyasını gün yüzüne çıkardı.
Saldırganlar, sisteme erişmek için zayıf kimlik bilgileri kullanmış ve iki kimlik doğrulama atlatma yöntemiyle sisteme girmiştir. Daha sonra, yamanmış Asus yönlendirici açığı CVE-2023-39780 kullanılarak komutlar yürütülmüştür.
Yüksek Seviyede Gizlilik ve Planlama
Saldırganlar, kötü amaçlı yazılım yüklemek yerine, 53282 portu üzerinden SSH erişimi sağlamış ve kendi SSH genel anahtarlarını yüklemişlerdir. Bu değişiklikler, kalıcı olarak depolanan bellek alanına yazıldığı için, firmware güncellemeleri ve yeniden başlatmalara rağmen arka kapı açık kalmaktadır.
Kaydedici, bu arka kapı kurulduktan sonra devre dışı bırakıldı ve bu sayede saldırı tespit edilmeden sürdürülmüştür.
GreyNoise, bu kampanyayı belirli bir gruba atfetmemiştir, ancak bu tür bir siber saldırının genelde gelişmiş tehdit aktörleriyle ilişkilendirildiğini belirtmektedir. Saldırı altyapısı, uzun süreli erişim sağlamak üzere tasarlanmış görünmektedir.
Asus Yönlendirici Kullanıcıları İçin Güvenlik Önlemleri
Asus, CVE-2023-39780 açığını içeren bir güncelleme yayınlamıştır. Ancak, güncellemeden önce etkilenmiş yönlendiricilerin SSH erişimi sağlanmışsa, hala saldırıya açık olabilecekleri belirtiliyor.
Asus yönlendirici sahiplerine acilen şu adımları takip etmeleri önerilmektedir:
- TCP/53282 portunu kontrol edin.
- Bilinmeyen girişlerin olduğu authorized_keys dosyasını gözden geçirin.
- Saldırı ile bağlantılı IP’leri engelleyin: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237
- Bir ihlal şüphesi varsa, cihazı tam fabrika ayarlarına sıfırlayın ve yeniden yapılandırın.
Yönlendirici güvenliğinizi artırmak için, cihazınızın firmware’ini düzenli olarak güncellemeyi unutmayın. Ayrıca, yönlendirici ve Wi-Fi ağınız için varsayılan şifreleri değiştirmek önemlidir. Güçlü ve benzersiz şifreler kullanmak, güvenliği artıracaktır.
Uzaktan yönetimi devre dışı bırakmak, eğer yerel ağınızdan dışarıya erişim gerekmiyorsa, etkili bir önlemdir. Yönlendirici ayarlarınızı düzenli olarak denetlemek, bilinmeyen SSH anahtarlarını, açık portları veya tanıdık olmayan konfigürasyonları tespit etmenize yardımcı olabilir.
Bir ağ güvenlik duvarı kurmak, şüpheli gelen ve giden trafiği engelleyebilir. Son olarak, Asus gibi üreticilerin duyurularını takip edebilmek, aktif tehditler hakkında güncellemeler sağlamaktadır.
Asus, geçen günlerde en son rapor öncesinde RT-AX55 gibi bazı modeller için güncellemeler yayımlamıştır. Şirket, durumu siber güvenlik ve Ar-Ge ekipleriyle koordineli olarak takip etmeye devam etmektedir.
Yeni yönlendirici modelleri, zayıf giriş bilgilerini ele almak amacıyla geliştirilmiş güvenlik önlemleri içermektedir. Tüm Asus yönlendiricileri AiProtection ile birlikte gelir, bu sayede kullanıcılar, parola gücünü kontrol edebilir ve güvenlik denetimleri gerçekleştirebilir.
Bunların yanı sıra yeni modeller, otomatik firmware güncellemelerini destekler; ancak bu özelliğin manuel olarak etkinleştirilmesi gerekmektedir. Güvenliğe öncelik veren kullanıcılar için bu seçeneği etkinleştirmek önemli bir adımdır.
