Ev ve küçük ofis ağlarının temel taşı olan router’lar, siber saldırganlar için her zaman cazip bir hedef olmuştur. Son günlerde ise güvenlik firması GreyNoise tarafından ortaya çıkarılan yeni bir tehdit, özellikle Asus marka router kullanıcılarını endişelendiriyor. Binlerce Asus router‘ın, yeniden başlatmalara ve hatta aygıt yazılımı (firmware) güncellemelerine dayanabilen, gizli ve kalıcı bir arka kapı (backdoor) ile enfekte edildiği bildiriliyor.
Bu saldırının arkasında bir ulus devletin veya iyi kaynaklara sahip başka bir tehdit aktörünün olabileceği düşünülüyor.
Saldırı nasıl gerçekleşiyor ve neden bu kadar tehlikeli?
Bilinmeyen saldırganlar, bazıları uluslararası CVE sistemi tarafından hiç takip edilmemiş, ancak artık yamalanmış güvenlik açıklarını kullanarak cihazlara erişim sağlıyor. Cihazlar üzerinde yetkisiz yönetici kontrolünü ele geçirdikten sonra, tehdit aktörü SSH (Secure Shell) üzerinden cihaza erişim için genel bir şifreleme anahtarı yüklüyor. Bu noktadan sonra, özel anahtara sahip olan herkes, cihaza otomatik olarak yönetici haklarıyla giriş yapabiliyor.
Bu saldırıyı özellikle tehlikeli kılan şey, kalıcılığı. GreyNoise araştırmacıları, “Saldırganın erişimi hem yeniden başlatmaları hem de aygıt yazılımı güncellemelerini atlatarak etkilenen cihazlar üzerinde kalıcı kontrol sağlıyor” diyor. Saldırganlar, kimlik doğrulama atlatmalarını zincirleyerek, bilinen bir güvenlik açığından yararlanarak ve meşru yapılandırma özelliklerini kötüye kullanarak kötü amaçlı yazılım bırakmadan veya belirgin izler bırakmadan uzun süreli erişimlerini sürdürüyorlar.
GreyNoise, dünya genelinde bu şekilde arka kapı bulaştırılmış yaklaşık 9.000 cihaz tespit ettiğini ve bu sayının artmaya devam ettiğini belirtiyor. Şirket araştırmacıları, tehdit aktörünün enfekte cihazları henüz herhangi bir faaliyette kullandığına dair bir belirti olmadığını, bunun yerine saldırıların, tehdit aktörünün gelecekteki kullanım için çok sayıda ele geçirilmiş cihazı biriktirdiği bir hazırlık aşaması gibi göründüğünü ifade ediyor.
GreyNoise’un bu kampanyayı Mart ortasında tespit ettiği ve isimsiz devlet kurumlarını bilgilendirdikten sonra raporlamayı ertelediği detayı, tehdit aktörünün bir ulus devletle bağlantısı olabileceği ihtimalini güçlendiriyor.
Bu faaliyetin, geçen hafta bir başka güvenlik şirketi olan Sekoia tarafından “ViciousTrap” adıyla raporlanan daha büyük bir kampanyanın parçası olduğu düşünülüyor. Sekoia araştırmacıları, ağ istihbarat firması Censys tarafından yapılan internet taramalarının 9.500 kadar Asus router’ın ele geçirilmiş olabileceğini öne sürdüğünü belirtmişti.
Saldırganlar, cihazlara arka kapı yerleştirmek için birden fazla güvenlik açığından yararlanıyor. Bunlardan biri, Asus’un yakın tarihli bir aygıt yazılımı güncellemesinde yamaladığı, sistem komutlarının çalıştırılmasına olanak tanıyan bir komut enjeksiyonu açığı olan CVE-2023-39780. Geri kalan güvenlik açıkları da yamalanmış durumda, ancak bilinmeyen nedenlerle CVE takip tanımlamaları almamışlar.
Peki sizin Asus router’ınız enfekte mi?
Router kullanıcılarının cihazlarının enfekte olup olmadığını belirlemesinin tek yolu, yapılandırma panelindeki SSH ayarlarını kontrol etmekten geçiyor. Enfekte olmuş router’lar, cihazın 53282 numaralı port üzerinden, aşağıdaki gibi kısaltılmış bir anahtara sahip dijital bir sertifika kullanılarak SSH ile oturum açılabileceğini gösterecektir:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
Arka kapıyı nasıl kaldırırsınız?
Eğer router’ınızın SSH ayarlarında yukarıdaki gibi bir anahtar ve port yapılandırması görüyorsanız, arka kapıyı kaldırmak için aşağıdaki adımları izlemelisiniz:
- Router arayüzüne giriş yapın
- Web tarayıcınızı açın.
- Adres çubuğuna router’ınızın varsayılan IP adresini yazın (genellikle 192.168.1.1 veya router.asus.com).
- Kullanıcı adı ve şifrenizle giriş yapın. (Eğer değiştirmediyseniz, varsayılan bilgiler genellikle admin/admin veya benzeridir. Router modelinize göre değişiklik gösterebilir.)
- Gelişmiş ayarlara gidin
- Router arayüzünde genellikle “Gelişmiş Ayarlar” (Advanced Settings), “Yönetim” (Administration) veya benzeri bir menü bulunur. Bu menüyü bulun.
- SSH ayarlarını bulun
- Gelişmiş Ayarlar altında “Sistem” (System), “SSH” veya “Uzaktan Erişim” (Remote Access) gibi bir başlık altında SSH yapılandırma seçeneklerini arayın. Bu bölüm, Asus router modellerine göre farklılık gösterebilir. Genellikle “Servisler” (Services) veya “Yönetim” (Administration) -> “Sistem” (System) sekmesi altında bulunabilir.
- Şüpheli SSH anahtarını ve portu kaldırın
- SSH Yetkilendirilmiş Anahtarlar (Authorized Keys) veya SSH Sunucusu Ayarları: Bu bölümde, yukarıda belirtilen ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ… ile başlayan şüpheli anahtarı bulun.
- Genellikle bu anahtarların yanında bir “Sil” (Delete), “Kaldır” (Remove) butonu veya bir onay kutusu bulunur. Bu anahtarı seçerek veya silme butonuna tıklayarak kaldırın.
- SSH servisinin dinlediği port numarasını kontrol edin. Eğer 53282 olarak ayarlanmışsa ve bu sizin bilinçli bir yapılandırmanız değilse, bu port ayarını varsayılan değere (genellikle 22) geri döndürün veya SSH servisini tamamen kapatmayı düşünebilirsiniz (eğer SSH kullanmıyorsanız). Bazı arayüzlerde, belirli bir port için SSH erişimini etkinleştirme/devre dışı bırakma seçeneği olabilir. Bu durumda 53282 portu için erişimi devre dışı bırakın.
- Değişiklikleri kaydedin ve uygulayın
- Yaptığınız değişiklikleri kaydetmek için genellikle “Uygula” (Apply), “Kaydet” (Save) veya “Tamam” (OK) gibi bir butona tıklamanız gerekir.
- Router’ı yeniden başlatın
- Değişikliklerin tam olarak etkili olması için router’ınızı yeniden başlatmanız faydalı olabilir.
Bu özel tehdit dışında, tüm router kullanıcıları için geçerli olan temel güvenlik önlemleri hayati önem taşır.
- Aygıt yazılımını (Firmware) güncel tutun: Üreticilerin yayınladığı güvenlik güncellemelerini düzenli olarak kontrol edin ve yükleyin. Asus ve diğer markalar genellikle güvenlik açıklarını bu güncellemelerle kapatır.
- Güçlü yönetici şifresi kullanın: Router arayüzüne erişim için varsayılan şifreyi mutlaka değiştirin ve tahmin edilmesi zor, güçlü bir şifre belirleyin.
- Gereksiz servisleri kapatın: Uzaktan yönetim, UPnP gibi kullanmadığınız servisleri devre dışı bırakın. SSH servisini de eğer aktif olarak kullanmıyorsanız kapatmanız önerilir.
- Wi-Fi şifrenizi güçlü tutun: WPA2 veya WPA3 şifrelemesi kullanın ve güçlü bir Wi-Fi şifresi belirleyin.
Unutmayın, dijital dünyada güvenlik sürekli bir çaba gerektirir. Cihazlarınızı güncel tutmak ve şüpheli aktivitelere karşı dikkatli olmak, siber tehditlere karşı en iyi savunmanızdır.
