ASUS’un ön yüklü sürücü yazılımında tek tıkla RCE açığı keşfedildi

 (mrbruh.com)
2 puan yazan GN⁺ 2025-05-12 | 1 yorum | WhatsApp'ta paylaş
  • ASUS’un DriverHub yazılımında tek tıkla uzaktan kod çalıştırma (RCE) açığı keşfedildi
  • Yereldeki zayıf origin doğrulaması nedeniyle kötü amaçlı bir web sitesi RPC üzerinden yönetici yetkileriyle çalıştırma yapabiliyor
  • UpdateApp endpoint’i kötüye kullanıldığında ASUS imzalı bir çalıştırılabilir dosya ile manipüle edilmiş bir ini dosyası birleşerek kötü amaçlı kod çalıştırılabiliyor
  • Bu açık CVE-2025-3462, CVE-2025-3463 olarak yayımlandı ve ASUS yamayı hızla dağıttı
  • Açık bildirilirken gerçek dünyada istismar örneği olmadığı doğrulandı ve ASUS, bug bounty yerine hall of fame kaydıyla karşılık verdi

Introduction

  • Her şey yeni PC parçası satın alma hikâyesiyle başladı
  • ASUS anakart satın alındığında BIOS’taki otomatik yazılım yükleme seçeneği varsayılan olarak etkin geliyor
  • Seçeneği kapatmayı unutunca Windows oturum açıldıktan sonra DriverHub kurulum izni istemi çıktı
  • WiFi sürücüsüne ihtiyaç duyulduğu için merak edilip DriverHub kuruldu

DriverHub

  • DriverHub, GUI olmadan çalışan bir arka plan süreci
  • driverhub.asus.com ile iletişim kurarak kurulması/güncellenmesi gereken sürücülerin listesini bildiriyor
  • Yerelde HTTP API’yi (port 53000) RPC olarak sunuyor
  • Web sitesi bu yerel servise API istekleri göndererek sürücü yönetimini doğrudan yapabiliyor
  • Güvenlik zayıfsa saldırganların keyfi istek gönderebileceği fark edildi

Finding the Vulnerability

  • Bir web sitesinin DriverHub backend’ine keyfi RPC isteği gönderip gönderemediği test edildi
  • Sistem yalnızca Origin değeri “driverhub.asus.com” olduğunda yanıt verecek şekilde tasarlanmıştı
  • Origin kontrolünün origin.includes("driverhub.asus.com") benzeri bir wildcard eşleşmesi ile yapıldığı doğrulandı
  • Origin “driverhub.asus.com.mrbruh.com” olarak değiştirildiğinde isteğin kabul edildiği keşfedildi
  • Bunun, saldırganların kötü amaçlı bir siteden RPC çağrısı yapabilmesine yol açan ciddi bir risk olduğu görüldü

The Extent of the Damage

  • Reverse engineering ve JavaScript analiziyle arka planda kullanılabilen API endpoint’lerinin listesi çıkarıldı
  • Başlıca endpoint’ler:
    • Initialize: Kurulum durumu ve bilgilerini döndürür
    • DeviceInfo: Kurulu ASUS yazılımları/sürücüleri/donanımı/MAC adresini döndürür
    • Reboot: Anında yeniden başlatma yapar
    • Log: Log dosyaları kümesini döndürür
    • InstallApp: Belirtilen ID’ye sahip uygulama veya sürücüyü kurar
    • UpdateApp: Belirtilen URL’den çalıştırılabilir dosya indirir ve çalıştırır (ASUS imzalıysa otomatik çalıştırılır)
  • Özellikle UpdateApp endpoint’inin kötüye kullanılabileceğine dikkat çekildi

Achieving RCE

  • UpdateApp endpoint’i ayrıntılı olarak analiz edildi
  • “Url” parametresinde .asus.com içermesi şartı vardı ya da bunun atlatılma ihtimali bulunuyordu; dosya adı ise URL’nin sonundan alınıyordu
  • Yalnızca ASUS imzalı çalıştırılabilirler otomatik çalıştırılıyor, ancak imzasız dosyalar da indirildikten sonra silinmiyordu
  • İmza doğrulaması geçildikten sonra, çalıştırma öncesi dosyayı değiştiren bir timing attack olasılığı değerlendirildi ancak pratik bulunmadı
  • ASUS WiFi sürücü paketinin yapısı analiz edilirken AsusSetup.ini içindeki SilentInstallRun özelliğinin keyfi komut çalıştırmak için kullanılabildiği anlaşıldı
  • Nihai saldırı zinciri:
    1. Saldırgan, kurbanı driverhub.asus.com. * alt alanlı bir web sitesine gitmeye yönlendirir
    2. Site, kötü amaçlı calc.exe için UpdateApp isteği gönderir (yalnızca indirilir, çalıştırılmaz)
    3. Özel bir AsusSetup.ini istenir (SilentInstallRun=calc.exe olarak ayarlanır, bu da çalıştırılmaz)
    4. İmzalı AsusSetup.exe istenir (yönetici yetkileriyle otomatik çalışır ve -s bayrağıyla ini dosyasını okuyup calc.exe’yi çalıştırır)
  • Sonuç olarak tek tıkla uzaktan yönetici yetkileriyle keyfi kod çalıştırma (RCE) mümkün oluyor

Reporting Timeline (DD/MM/YYYY)

  • 07/04/2025: Açık ilk kez keşfedildi
  • 08/04/2025: RCE kanıtlandı ve açık raporlandı
  • 09/04/2025: ASUS otomatik yanıtı alındı
  • 17/04/2025: Yama dağıtıldı ve yamalı derleme alındı
  • 18/04/2025: Yamanın yayında olduğu doğrulandı
  • 09/05/2025: CVE-2025-3462 (8.4 puan), CVE-2025-3463 (9.4 puan) yayımlandı

Assessing the Damage

  • Açık raporlandıktan hemen sonra certificate transparency izleme betiği yazıldı
  • driverhub.asus.com.* alt alanları için sertifika verme geçmişi takip edildi
  • 1 aylık izleme sonucunda, filtreye takılan sitelerin kendi testleri dışında olmadığı görüldü
  • Önceden istismar edildiğine dair iz bulunmadığı doğrulandı

Bug Bounty

  • ASUS’a bug bounty ödemesi yapılıp yapılmayacağı soruldu, ancak reddedildi
  • Bunun yerine hall of fame kaydı ile karşılık verildi
  • ASUS’un büyük bir şirket olmasına rağmen ödül politikasının yetersiz olduğuna dair ek açıklama yapıldı

Fun Notes

  • ASUS Security Advisory formu gönderilirken PoC, Amazon CloudFront tarafından kötü amaçlı istek olarak engellendi
  • DriverHub’da “Install All” tıklandığında başka yazılımlar da (Norton360, WinRAR vb.) zorla kuruluyor
  • CVE açıklaması gerçekte olduğundan daha muğlak, 'masaüstü/dizüstü etkilenmiyor' şeklinde yanlış anlaşılmaya açık (gerçekte DriverHub kurulu tüm cihazlar etkileniyor)
  • WiFi hâlâ çalışmıyor, harici USB WiFi adaptörü satın almak gerekti
  • İletişim için Signal: paul19.84, e-posta: contact [at] mrbruh.com

İlgili okumalar

1 yorum

 
GN⁺ 2025-05-12
Hacker News görüşleri
  • Responsible Disclosure'un sonuçları insanlık için bir felaket gibi hissettiriyor; şirketlerin müşteri güvenliğini ciddiye alması için daha sık ve daha büyük acılar yaşamaları gerekiyor, sorunu bulup bir ay içinde düzeltmeleri için çözümü verdiğinizde şirket açısından bu yalnızca bir backlog bileti oluyor, ama çevrimiçi haber olup CEO'nun bile devreye girmesi gereken bir duruma dönüşürse birkaç saat içinde çözüm bulurlar, elbette en büyük zararı sonunda kullanıcılar görüyor, ama zaten ASUS satın almak bile başlı başına bir acı
    • ASUS'un bu seferki yaklaşımı nispeten hızlıydı; sorunu inkâr etmediler, tersine mühendislik yapan kişiye dava açmadılar ve hemen yama yayımladılar, eskiden bu tür meseleler aylar sürebilir ya da polis işin içine girebilirdi, sıradan kullanıcılar zaten güvenlik açıklarını umursamıyor, çünkü 3 yıldır güncelleme almayan telefonlarla finansal işlem yapılan bir dünyada yaşıyoruz, medyayı CVE haberleriyle doldursanız da insanlar sadece duyarsızlaşır, Avrupa'da yeni düzenlemelerle bilinen bir güvenlik açığı bulunan ürünlerin satışı tamamen yasaklanıyor, bu yüzden ASUS böyle devam ederse anakart stokları depolarda birikir ve distribütörler satmak istemez, bu beyaz eşyalar için de geçerli, örneğin bulaşık makinesinde bir açık varsa o sektör de ciddi zarar görebilir
    • "Responsible" Disclosure adı ironik biçimde tamamen sorumsuz bir davranış, şirketlerin çoğu bir hafta içinde yama bile çıkarmıyor, katkıyı takdir etmiyor, kullanıcıları bilgilendirmiyor ve hatalarından ders almıyor, yavaş ve sınırlı açıklama bu davranışı teşvik ediyor, gerçekten sorumlu olan şey derhâl, eksiksiz ve açık biçimde yayımlamaktır, ayrıca şirketin düzgün karşılık vereceğine dair güven oluşmuşsa 5 iş günü kadar önceden haber vermek de düşünülebilir, yavaş ve kısmi açıklamaya "responsible disclosure" demek sadece kelime oyunu
    • Sorunun kökü ürün sorumluluğuna dair mevzuat eksikliği, otomobil üreticilerinin geri çağırma yükümlülüğü var ama yazılım/donanım şirketleri üzerindeki baskı çok zayıf, müşterilerin güvenlik açığı (CVE) düzeltilmemiş ürünler için tam para iadesi alabilmesi gerektiğini düşünüyorum
    • CGPGrey'in dediği gibi, akla ilk gelen çözüm çoğu zaman kötüdür ve etkisizdir, iyi bir güvenlik kültürü şirket içinde sorunları gizlememeyi teşvik etmeli, şirketler açgözlü oldukları için tüm güvenlik sorunlarını saklıyor, her şeyi bulunduğu anda yayımlarsanız aslında bir ayda düzeltilebilecek sorunlar herkesin önüne düşer ve kötüye kullanım ihtimali ciddi biçimde artar
    • Bir iş fikrim var, belki zaten vardır: ihbarcı gizliliğini koruyan, güvenlik açığının gerçekten istismar edilebilir olup olmadığını doğrulayan, belirlenmiş takvimlerde kamuya açık duyurular yapan bir açıklama/aracılık platformu, şirketler kendilerini etkileyen ön bildirim akışına abone olup ödeme yapar, bu gelir de ihbarcı ödülü, işletme maliyetleri ve kâr paylaşımı için kullanılır, bug bounty pazar yerine benziyor ama şirket açısından biraz daha düşmanca, bunun yasal olup olmadığını ya da şantaj sayılıp sayılmayacağını merak ediyorum
    • Sürekli vurguluyorum ama diğer sektörlerde olduğu gibi ürün kusurları için yasal sorumluluk olmalı, çoğu insan ucuzluk dışında kusurlu ürünü kabul etmezken yazılımın istisna olması için bir neden yok
    • Açığı ertesi gün doğrudan yayımlamak gerçek motivasyonu sağlar, itibar kaybı da sonraki güvenlik için faydalı olur
    • "İnsanlık için felaket" gibi abartılar, tartışmanın özünü bozan tipik örneklerdir
  • ASUS'a bug bounty verip vermediklerini sordum, onun yerine adımı Hall of Fame'e koyabileceklerini söylediler, sanki ASUS yalnızca küçük bir startup'mış da bounty verecek sermayesi yokmuş gibi, bu da biraz acı
    • Cisco gibi küçük şirketler de benzer şekilde ödül yerine sadece isim yayımlamayı teklif ediyor, Cisco güvenlik duyuru sayfasını bile unutmuş, bu yüzden takdir edilme fırsatı da kayboluyor
    • Bug bounty yoksa geriye ya exploit'i kara piyasaya vermek ya da tamamen açıklamak kalıyor
    • Böyle şeyler yüzünden bir daha ASUS ürünü almak istemiyorum
  • ASUS'un yazılım kalitesi de kötü ve güvenlikte sürekli sorun çıkaran bir şirket, geçmişte de anakartlarda UEFI malware meselesi vardı, gereksiz yazılımlar ön yüklü geliyor ve kaldırması bile zahmetli, bu konuda birçok şikâyet örneği var, bakmaya değer
    • Bu ilk kez olmuyor, geçmişte de benzer vakalar yaşandı ve eski blog yazımda bunları kayıt altına almıştım
  • Yalnızca kendi test alan adının (driverhub.asus.com.*) koşulları karşıladığı için bunun istismar edilmediğini söylediler, ama bu ancak birinin driverhub alt alan adını ayrıca kaydetmemiş olması durumunda geçerli, wildcard kullanılırsa sertifika şeffaflığı günlüklerinde görünmeden istismar mümkün olabilir
    • Wildcard sertifikaları yalnızca tek seviye alt alan adını kapsar, örneğin *.example.com sadece test.example.com için geçerlidir, test.test.example.com için değil, eğer biri *.asus.com.example.com wildcard'ını kullanmış olsaydı driverhub.asus.com.example.com geçerli olurdu
    • Bunun iyi bir fikir olduğunu söyleyip hemen kontrol etmişler, şu anda wildcard sertifikası açısından şüpheli bir şey görünmüyor
    • Wildcard sertifikalarındaki kör nokta gerçekten yerinde bir tespit, saldırganın .example.com wildcard sertifikası olsaydı bu durum gerçekten driverhub.asus.com dışında bir yerde de istismar edilebilirdi, bu yüzden yalnızca CT log izleme ile bu tür alt alan adı ele geçirme açıklarını tam olarak yakalamak mümkün değil
  • ASUS'a bug bounty'yi sorunca "Biz küçük bir startup'ız, bounty yok ama adını Hall of Fame'e yazarız" demeleri dikkat çekiciydi; oysa gerçekte piyasa değeri 15 milyar doların üzerinde dev bir şirket
    • Alaycı bir espri olarak sarcasm.com önerildi
  • Anakart üzerindeki Wi‑Fi çalışmadığı için USB harici Wi‑Fi kullandım ama DriverHub yüzünden bunun da hiçbir faydası olmadı, sözde çözüm diye sunuluyordu ama tam hayal kırıklığı
    • Blog yazısının kendisini ise keyifle okudum
    • En güncel Wi‑Fi sürücüsü çalışmadığı için eski bir sürümü kullanmak zorunda kaldım
  • ASUS, 15 milyar dolarlık piyasa değerine sahip büyük bir şirket olmasına rağmen düzgün bir ödül de vermiyor, müşterilerin ve araştırmacıların emeğini de görmezden geliyor, böyle bir muameleyi görünce araştırmacıların neden bu kadar kırgın olduğunu anlamak kolay, sonuç olarak en iyisi ASUS ürünü satın almamak
  • Bug raporu gönderirken PoC dosyası Amazon CloudFront tarafından kötü amaçlı istek olarak algılandı ve gönderim tamamen engellendi, bu tür WAF (Web Application Firewall) kullanımları aslında kötü bir örnek
  • Anakart Wi‑Fi sorunu şikâyetine katılıyorum, aslında yalnızca chipset modeline bakıp station-drivers gibi bir yerden ayrı indirseniz birkaç saniye sürer, bu tür rahatsızlıklar yüzünden ASUS'u sevmiyorum, özellikle işletim sistemiyle doğrudan etkileşen BIOS seçeneklerinden hiç hoşlanmıyorum
  • ASUS ürünlerini seviyorum ama UEFI üzerinden varsayılan olarak yüklenen destek uygulamalarını mutlaka devre dışı bırakıyorum, eskiden tam sürüm ROG Armory Crate kuruluyordu ve kaldırması uğraştırıyordu, ASUS Intel'den NUC işini devraldıktan sonra BIOS güncellemeleri sürse de MyASUS gibi kurulum uygulamaları varsayılan olarak eklenmeye başladı, neyse ki devre dışı bırakma seçeneği var, Intel NUC BIOS üzerinden güncelleme yapıldıysa varsayılan olarak kapalı geliyor gibi görünüyor