Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, touchant également des appareils de Cisco, D-Link et Linksys. Une campagne d’exploitation menée par des attaquants a permis un accès non autorisé durable, soulignant la gravité de cette menace pour les utilisateurs touchés.
Des routeurs sans fil ASUS compromis
Des milliers de routeurs sans fil ASUS ont été compromis par un botnet qui cible également des appareils de marques comme Cisco, D-Link, et Linksys. La manière dont ces routeurs sont infectés permet aux attaquants de rester en contrôle même après une mise à jour du firmware.
Détection de l’exploitation
Des chercheurs en sécurité chez GreyNoise ont détecté l’exploitation pour la première fois en mars, mais ont choisi de garder le silence afin de permettre à l’industrie de coordonner une réponse appropriée.
GreyNoise a identifié une campagne d’exploitation en cours, permettant aux attaquants d’accéder de manière non autorisée et persistante à des milliers de routeurs ASUS exposés sur Internet. Cela semble faire partie d’une opération discrète visant à assembler un réseau distribué d’appareils backdoor, potentiellement pour préparer un botnet à grande échelle.
L’accès des attaquants survive aux redémarrages et aux mises à jour du firmware, leur offrant ainsi un contrôle durable sur les appareils affectés. Les attaquants conservent un accès à long terme sans installer de logiciels malveillants ni laisser de traces évidentes en combinant des contournements d’authentification, en exploitant une vulnérabilité connue et en abusant des fonctionnalités de configuration légitimes.
Il est suspecté qu’un État-nation soit derrière cette attaque, ayant l’intention d’utiliser les routeurs compromis pour des exploitations à grande échelle.
Modèles affectés
Les modèles de routeurs ASUS touchés incluent le RT-AC3100, le RT-AC3200 et le RT-AX55. Une fois un routeur compromis, il est déjà trop tard pour mettre à jour le firmware.
Ces modifications permettent aux acteurs de la menace de conserver un accès backdoor à l’appareil même entre redémarrages et mises à jour de firmware. Les changements de configuration sont conservés grâce à des fonctionnalités officielles de ASUS, rendant la mise à jour encore plus problématique.
Un rapport connexe de GreyNoise note que :
Si vous avez été exploité auparavant, mettre à jour votre firmware ne supprimera PAS la backdoor SSH.
L’exploitation désactive également la journalisation, rendant difficile la détermination de l’éventuelle compromission de votre routeur.
Que faire
Si vous possédez l’un des modèles ASUS mentionnés, il est recommandé de réinitialiser les paramètres d’usine de votre routeur comme seule méthode pour assurer sa propreté. Ensuite, effectuez une mise à jour du firmware. Bien qu’une mise à jour seule ne puisse pas enlever l’infection, faire la mise à jour après une réinitialisation complète empêchera une nouvelle compromission.
Aucun cas d’infection réussi pour les autres marques citées n’est à signaler, de ce fait aucune action n’est requise à leur sujet.
Pour plus d’informations, vous pouvez consulter des ressources additionnelles sur le sujet.
Mon avis :
La compromission de milliers de routeurs ASUS par un botnet souligne des enjeux critiques en cybersécurité. Bien que ces appareils soient populaires pour leur performance, cette faille exploitée par des acteurs malveillants démontre des vulnérabilités persistantes. Les utilisateurs doivent agir promptement, en réalisant des réinitialisations d’usine et des mises à jour de firmware pour atténuer les risques.
Les questions fréquentes :
Qu’est-ce qui s’est passé avec les routeurs ASUS ?
Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, qui a également ciblé des appareils de marques comme Cisco, D-Link et Linksys. L’infection permet aux attaquants de garder le contrôle des dispositifs, même après des mises à jour de firmware.
Quels modèles de routeurs ASUS sont affectés ?
Les modèles de routeurs ASUS concernés incluent le RT-AC3100, le RT-AC3200 et le RT-AX55. Il est essentiel de prendre des mesures de précaution si vous possédez l’un de ces appareils.
Quelle est la meilleure manière de sécuriser mon routeur ASUS ?
Si vous possédez l’un des modèles affectés, il est recommandé de réinitialiser votre routeur aux paramètres d’usine pour garantir qu’il est propre. Ensuite, effectuez une mise à jour du firmware pour éviter toute compromission future.
Quelle est l’origine de cette attaque ?
Il est soupçonné qu’un État-nation soit à l’origine de cette attaque, visant à utiliser les routeurs compromis pour des exploits à grande échelle. Les chercheurs en sécurité estiment que cela fait partie d’une opération discrète visant à créer un réseau distribué de dispositifs équipés de portes dérobées.