ViciousTrap Saldırısı ve Asus Yönlendirici Tehditleri
Son yıllarda siber güvenlik alanında meydana gelen tehditler, kullanıcıları endişelendirmeye devam ediyor. Yeni bir saldırı kampanyası, özellikle Asus yönlendiricileri hedef alarak büyük bir tehdit oluşturuyor. GreyNoise güvenlik firmasının açıklamalarına göre, bu kampanya Mart ayı ortalarında tespit edilmiştir. Ancak, firmanın yetkilileri, bu durumu ilgili hükümet ajanslarına bildirmeden önce kamuoyuna açıklamaktan kaçınmıştır. Bu bilgi, saldırganların muhtemelen bir devlet aktörü ile bağlantılı olabileceğini düşündürmektedir.
ViciousTrap’ın Tespiti
GreyNoise araştırmacıları, gözlemledikleri etkinliğin, Sekoia adlı başka bir güvenlik şirketi tarafından haftalar önce bildirilen daha kapsamlı bir kampanyanın parçası olduğunu belirtmiştir. Sekoia’nın yaptığı internet taramaları, ağ zeka firması Censys tarafından elde edilen verilere dayanarak, yaklaşık 9,500 Asus yönlendiricisinin böylesi bir saldırıya maruz kalabileceğini ortaya koymuştur. GreyNoise, bu bilinmeyen saldırganı ViciousTrap ismiyle takip etmektedir.
Vulnerabiliteler ve Saldırı Yöntemleri
Saldırganlar, bu yönlendiricileri bir arka kapı ile ele geçiriyorlar. Bunun için birden fazla güvenlik açığından yararlanmaktadırlar. Bu açıklar arasında sıkça bahsedilenlerden biri CVE-2023-39780 kodlu komut enjeksiyonu hatasıdır. Bu hata, sistem komutlarının kötüye kullanılmasına olanak tanımaktadır. Asus, bu açığı içeren bir yazılım güncellemesi yayınlamıştır. Ayrıca, diğer açıklar da kapatılmıştır, ancak henüz CVE izleme kodu almamıştır.
Router Kullanıcıları İçin Öneriler
Yönlendirici kullanıcılarının, cihazlarının enfekte olup olmadığını öğrenmek için SSH ayarlarını kontrol etmeleri gerekmektedir. Eğer yönlendirici enfekte olmuşsa, cihazın 53382. port üzerinden SSH ile giriş yapılabileceği ve kesilmiş bir anahtar kullanıldığını gösterecektir. Kullanıcılar, bu tip bir anahtara sahip olarak şu şekilde görebilirler:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...Kullanıcıların, arka kapıyı ortadan kaldırabilmeleri için bu anahtarı ve port ayarını silmeleri önerilmektedir.
Tehditleri Belirleme Yöntemleri
Kullanıcılar, hedef alınıp alınmadıklarını anlamak için sistem günlüklerini inceleyebilirler. Eğer yönlendirici, 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 veya 111.90.146[.]237 gibi IP adresleri aracılığıyla erişildiğini gösteriyorsa, cihazın belirtilen IP adresleri üzerinden kötüye kullanıldığı kesinleşmektedir. Tüm yönlendirici markalarının kullanıcıları, cihazlarının güvenlik güncellemelerini zamanında almasını sağlamalıdır.
Sonuç
Günümüzde siber güvenlik tehditleri giderek daha karmaşık hale gelmektedir. Kullanıcıların, yönlendiricilerini ve diğer ağ cihazlarını korumak için dikkatli olmaları gerekmektedir. Ayrıca, güncellemeleri zamanında yaparak bu tür saldırılardan kendilerini koruyabilirler. ViciousTrap gibi saldırılar, teknolojinin hızla geliştiği bir dünyada, kullanıcıların dikkatini sürekli aynı düzeyde tutmalarını gerektiriyor. Siber güvenlik, bireysel kullanıcıdan büyük kuruluşlara kadar herkes için bir öncelik olmalıdır.
