Asus, 9 binden fazla router’ı etkileyen botnet saldırısıyla ilgili açıklama yaptı.
Firma, aygıt yazılımı güncellemeleri ve fabrika ayarlarına sıfırlama ile arka kapıların temizleneceğini söylüyor.
Asus, dünya genelinde 9 bin 500’den fazla router (yönlendirici) cihazını etkileyen “AyySSHush” adlı botnet saldırısına ilişkin endişelere karşı resmi açıklamalarda bulundu.
Siber güvenlik firması GreyNoise’un geçtiğimiz mart ayında keşfettiği ve mayıs ayında kamuoyuna duyurduğu bu saldırı dalgasında, kötü niyetli aktörlerin CVE-2023-39780 olarak tanımlanan bir komut enjeksiyonu açığını kullandığı bildirildi. Söz konusu açık, saldırganların router cihazlarında özel bir port (TCP/53282) üzerinden SSH erişimi sağlamalarına ve kendi açık anahtarlarını yükleyerek uzaktan kontrol elde etmelerine imkân tanıyor.
Asus, Tom’s Hardware’e gönderdiği açıklamada bu güvenlik açığının yeni yayımlanan yazılım güncellemesiyle giderildiğini ve saldırıdan etkilenmeyen kullanıcıların hızlıca güncelleme yaparak riskten korunabileceğini belirtti. Halihazırda saldırıya uğrayan cihazlarda ise önce yazılım güncellemesi yapılması, ardından da cihazın fabrika ayarlarına döndürülerek güçlü bir yönetici parolası belirlenmesi öneriliyor.
Destek süresi dolmuş (EOL) modeller için ya da fabrika ayarlarını sıfırlamak istemeyen ileri düzey kullanıcılar için Asus, uzaktan erişim özelliklerinin tamamen devre dışı bırakılmasını öneriyor. Bu kapsamda özellikle SSH, DDNS, AiCloud ve WAN üzerinden web erişimi gibi servislerin kapatılması ve port 53282’nin internete açık olmadığının kontrol edilmesi gerektiği vurgulanıyor.
GreyNoise’un Sift adını verdiği yapay zekâ tabanlı tehdit algılama sistemi tarafından ortaya çıkarılan AyySSHush botneti, bugüne kadar yalnızca 30 kadar istekle sınırlı bir faaliyet gösterse de uzmanlara göre saldırının arkasındaki grup kaynak açısından güçlü ve teknik olarak ileri düzeyde. Saldırganların kimlikleri hakkında henüz resmi bir suçlama yapılmış değil.
Asus, saldırının duyulmasından önce bazı yönlendiriciler için güvenlik yamaları üzerinde çalışmaya başladığını belirtti. Güvenlik açığı hakkında kullanıcıları bilgilendirmek için mobil bildirimler gönderildiğini ve güncellemeye ilişkin rehberlerin hem ürün güvenlik sayfasında hem de bilgi tabanında yayımlandığını duyurdu.
Asus yönlendirici kullanıcılarına, cihaz günlüklerini kontrol ederek şüpheli SSH anahtarlarını veya başarısız oturum açma girişimlerini taramaları tavsiye ediliyor. Cihazların WAN erişimine açık bırakılması ciddi güvenlik riskleri doğuruyor ve enfekte yönlendiricilerin büyük çoğunluğunun savunmasız ayarlarla çalıştığı düşünülüyor.
