CISA, ASUS Live Update Tedarik Zinciri Açığını Aktif İstismar Sonrası Uyardı

Anasayfa » CISA, ASUS Live Update Tedarik Zinciri Açığını Aktif İstismar Sonrası Uyardı
APT, Tedarik Zinciri Saldırıları, Zafiyetler
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
CISA, ASUS Live Update Tedarik Zinciri Açığını Aktif İstismar Sonrası Uyardı

Saldırının Genel Çerçevesi

ASUS Live Update uygulamasında tespit edilen kritik bir güvenlik açığı, CISA tarafından aktif olarak sömürüldüğü kanıtlandıktan sonra Bilinen Sömürülmüş Açıklar (KEV) kataloğuna dahil edildi. CVE-2025-59374 olarak kayda geçen bu zafiyet, CVSS skoru 9.3 ile yüksek risk taşıyor ve tedarik zinciri saldırısı kapsamında gömülü kötü amaçlı kod içeriyor.

Zafiyet, ASUS Live Update istemcisinin belirli sürümlerinde ortaya çıktı ve saldırganların hedeflenen cihazlarda yetkisiz işlemler yapmasına imkan tanıyor. Özellikle 2018-2019 yıllarında gerçekleşen ve Operation ShadowHammer olarak adlandırılan gelişmiş sürekli tehdit (APT) kampanyasıyla bağlantılı olduğu doğrulandı.

Hangi Sistemler Risk Altında?

Bu açığın etkilediği cihazlar, ASUS Live Update’in 3.6.8 sürümünden önceki versiyonlarını kullanan ve saldırganların değiştirdiği güncelleme paketlerini yükleyen sistemlerle sınırlı. Saldırı, hedef cihazların MAC adreslerine göre cerrahi olarak seçilmiş kullanıcıları hedef aldı. Yaklaşık 600’den fazla benzersiz MAC adresi sabit kodlu listeye dahil edildi.

ASUS, söz konusu saldırının canlı güncelleme sunucularına yapılan sofistike bir tedarik zinciri saldırısı olduğunu ve sadece çok küçük, spesifik bir kullanıcı grubunu etkilediğini açıkladı. Ancak, yazılımın 3.6.8 sürümüyle bu sorun giderildi ve şirket 4 Aralık 2025 itibarıyla Live Update istemcisinin desteğini sonlandırdı.

Saldırı Zinciri ve Teknik Detaylar

Operation ShadowHammer kampanyasında, saldırganlar ASUS’un güncelleme sunucularını ihlal ederek kötü amaçlı kod içeren güncelleme paketleri dağıttı. Bu paketler, hedeflenen cihazların MAC adreslerine göre filtrelenerek yalnızca belirli sistemlerde aktif hale geldi. Bu yöntem, hedefe yönelik saldırıların tespiti ve engellenmesini zorlaştırdı.

Teknik olarak, saldırı zinciri şu adımlardan oluştu:

  • ASUS Live Update sunucularının ihlali ve kötü amaçlı güncelleme paketlerinin hazırlanması
  • Hedef MAC adresleri listesine uygun cihazlarda kötü amaçlı kodun aktive edilmesi
  • Yetkisiz işlemler ve potansiyel veri sızıntısı veya sistem kontrolü sağlanması

Bu tür tedarik zinciri saldırıları, özellikle güvenlik duvarı ve IAM sistemlerinde zayıf segmentasyon ve zayıf erişim kontrolleri olan ortamlarda daha büyük risk oluşturuyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • ASUS Live Update yazılımını en az 3.6.8 sürümüne güncelleyin veya mümkünse kullanımı sonlandırın.
  • Federal ve kurumsal ortamlarda 7 Ocak 2026 tarihine kadar Live Update kullanımını bırakın.
  • EDR ve SIEM sistemlerinde ASUS Live Update ile ilgili anormal davranışları ve ağ trafiğini izleyin.
  • MAC adresi bazlı hedeflemeye karşı ağ segmentasyonu ve Zero Trust prensiplerini uygulayın.
  • Güncelleme paketlerinin dijital imzalarını doğrulayarak tedarik zinciri saldırılarını önleyin.
  • Olay müdahale planlarında tedarik zinciri saldırılarına yönelik senaryoları dahil edin.
  • Loglarda ASUS Live Update aktivitelerini detaylı takip ederek olağan dışı değişiklikleri tespit edin.
  • Kullanıcı ve cihaz erişim yönetimini güçlendirin, çok faktörlü kimlik doğrulama (MFA) uygulayın.

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumunda ASUS Live Update 3.6.7 sürümü kullanan kritik sunucular, saldırganlar tarafından değiştirilmiş güncelleme paketleriyle hedef alınabilir. Bu durum, kurumun ağında yetkisiz kod çalıştırılmasına ve potansiyel veri sızıntısına yol açabilir. SIEM ve EDR çözümleri, anormal güncelleme aktivitelerini tespit ederek erken müdahale imkanı sağlar. Ayrıca, ağ segmentasyonu ve IAM politikaları sayesinde saldırının yayılması engellenebilir.

, , , , , , ,