Operation WrtHug: Tehditin Boyutu
Son altı ay içinde, ASUS WRT yönlendiricilerinin dünya genelinde büyük bir kampanya ile hedef alındığı belirlendi. Operasyon WrtHug adındaki bu saldırılar, eski veya artık desteklenmeyen cihazlarda bulunan altı güvenlik açığını istismar ediyor. Araştırmalar, yaklaşık 50.000 benzersiz IP adresinin, çoğu Tayvan’da, bazıları ise Güneydoğu Asya, Rusya, Orta Avrupa ve Amerika Birleşik Devletleri’nde bulunan cihazlarda tehlikeye girdiğini gösteriyor.
Tehdit Aktörleri ve Hedefler
Çin’den herhangi bir hastalık tespiti olmaması, bu ülkeden bir tehdit aktörünün olabileceği ihtimali üzerinde durulmasına yol açıyor. Ancak, araştırmacılar bu konuda güvenilir bir kanıt bulmuş değil. Güvenlik araştırmaları yapan SecurityScorecard ekipleri, Operasyon WrtHug ile AyySSHush kampanyası arasında bir bağlantı olabileceğini düşünüyor. AyySSHush kampanyası, geçtiğimiz Mayıs ayında GreyNoise tarafından ilk kez belgelenmişti.
WrtHug Saldırılarının Detayları
WrtHug saldırıları, ASUS WRT yönlendiricilerindeki komut enjeksiyon açıklarını ve diğer bilinen güvenlik açıklarını hedef alarak başlıyor. Özellikle AC ve AX serisi cihazlar bu saldırılara maruz kalıyor. İşte bu kampanyada sömürülen bazı güvenlik açıkları:
- CVE-2023-41345/46/47/48 – Belirli token modülleri üzerinden işletim sistemi komut enjeksiyonu.
- CVE-2023-39780 – AyySSHush kampanyasında da kullanılan başlıca komut enjeksiyon açığı.
- CVE-2024-12912 – Rastgele komut yürütme.
- CVE-2025-2492 – Yetkisiz fonksiyon yürütülmesine yol açabilen hatalı kimlik doğrulama kontrolü.
Bu açıklar arasında, CVE-2025-2492, kritik bir şiddet derecesine sahip olan tek açığı temsil ediyor. ASUS, bu açık hakkında Nisan ayında önemli bir uyarıda bulundu ve AiCloud özelliği etkin olan yönlendiricileri etkileyebileceğini belirtti.
Kompromize Sertifikasyonu
WrtHug kampanyası ile ilişkili bir başka önemli bulgu ise, 99% oranındaki ihlal edilen cihazlarda görülen kendinden imzalı TLS sertifikasıdır. Bu sertifika, ASUS tarafından oluşturulan standart sertifikayı değiştirdi ve 100 yıllık bir geçerliliğe sahip. STRIKE araştırmacıları, bu benzersiz sertifikayı kullanarak 50.000 enfekte IP adresi belirledi.
Hedef Alınan ASUS Modelleri
Stratejik olarak hedef alınan bazı ASUS modelleri şunlardır:
- ASUS Wireless Router 4G-AC55U
- ASUS Wireless Router 4G-AC860U
- ASUS Wireless Router DSL-AC68U
- ASUS Wireless Router GT-AC5300
- ASUS Wireless Router GT-AX11000
- ASUS Wireless Router RT-AC1200HP
- ASUS Wireless Router RT-AC1300GPLUS
- ASUS Wireless Router RT-AC1300UHP
Öneriler ve Önlemler
ASUS, WrtHug saldırılarında kullanılan tüm açıkları kapatacak güvenlik güncellemeleri yayınladı. Yönlendirici sahiplerinin, en son yazılımlarını güncellemeleri önem arz ediyor. Artık desteklenmeyen cihazlar için kullanıcıların yeni bir ürün satın alması veya en azından uzaktan erişim özelliklerini devre dışı bırakmaları öneriliyor.
Son olarak, ASUS’un CVE-2025-59367 olarak bilinen, bazı AC serisi modelleri etkileyen bir kimlik doğrulama atlatma hatasını da düzelttiği bildirildi. Bu açık henüz kullanılmamış olsa da, gelecekte saldırganların arsenaline eklenebilir.
Sonuç olarak, eski yönlendirici sahiplerinin cihaz güvenliğine dikkat etmesi ve gerekli güncellemeleri yapması, siber güvenlik risklerini azaltma adına kritik bir öneme sahiptir.
