Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, exposant des informations sensibles et mettant en péril la sécurité des utilisateurs. Cette vulnérabilité, découverte récemment, souligne l’importance cruciale de la cybersécurité dans notre monde hyperconnecté. Il est essentiel de rester vigilant face à ces menaces croissantes.
Des milliers de routeurs sans fil ASUS se trouvent compromis par un botnet, qui cible également des dispositifs des marques Cisco, D-Link et Linksys.
Le mode d’infection des routeurs permet aux attaquants de garder le contrôle sur l’appareil même après un redémarrage ou une mise à jour du firmware.
Routeurs sans fil ASUS compromis
Les chercheurs en sécurité de Greynoise ont détecté cette exploitation en mars, mais ont choisi de ne pas la rendre publique immédiatement afin de permettre à l’industrie de coordonner une réponse appropriée.
GreyNoise a identifié une campagne d’exploitation en cours où des attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés sur Internet. Cela semble faire partie d’une opération discrète visant à constituer un réseau distribué d’appareils à porte dérobée — préparant potentiellement le terrain pour un botnet à grande échelle […]
L’accès des attaquants persiste même après des redémarrages ou des mises à jour de firmware, leur permettant de garder un contrôle durable sur les appareils affectés. Ils maintiennent un accès à long terme sans installer de logiciel malveillant ou laisser des traces évidentes, en exploitant des contournements d’authentification, en utilisant une vulnérabilité connue, et en abusant de fonctionnalités de configuration légitimes.
On suppose qu’un État-nation pourrait être derrière cette attaque, avec l’intention d’utiliser les routeurs compromis pour des exploits à grande échelle.
Les modèles de routeurs ASUS touchés incluent le RT-AC3100, le RT-AC3200 et le RT-AX55.
Une fois votre routeur compromis, il est trop tard pour mettre à jour le firmware, selon Bleeping Computer.
Ces modifications permettent aux acteurs de la menace de conserver un accès à porte dérobée à l’appareil même entre les redémarrages et les mises à jour de firmware. « Parce que cette clé est ajoutée en utilisant les fonctionnalités officielles d’ASUS, ce changement de configuration persiste à travers les mises à jour de firmware », explique un autre rapport connexe de GreyNoise.
« Si vous avez été exploité auparavant, mettre à jour votre firmware ne supprimera PAS la porte dérobée SSH. »
Cette exploitation désactive également la journalisation, rendant difficile la détection d’une éventuelle compromission de votre routeur.
Que faire ?
Si vous possédez l’un des modèles ASUS mentionnés, il est recommandé de réinitialiser votre routeur aux paramètres d’usine, ce qui constitue le seul moyen de garantir qu’il soit propre. Ensuite, effectuez une mise à jour du firmware. Bien qu’une mise à jour seule ne suffise pas à éliminer l’infection, procéder à une mise à jour après une réinitialisation complète empêchera une nouvelle compromission.
Aucune infection réussie des autres marques citées n’a été rapportée à ce jour, donc aucune action n’est requise pour celles-ci.
Pour en savoir plus, consultez le site de Greynoise.
Accessoires mis en avant
Image : collage d’images de 9to5Mac provenant d’ASUS et de Mathias Reding sur Unsplash
Nous utilisons des liens d’affiliés auto-générés. En savoir plus.
Quels modèles de routeurs ASUS sont concernés ?
Les modèles affectés comprennent le RT-AC3100, RT-AC3200 et RT-AX55.
Que faire si mon routeur est compromis ?
Il est recommandé de réinitialiser votre routeur aux paramètres d’usine, puis de mettre à jour le firmware pour s’assurer qu’il est propre.
Comment savoir si mon routeur est compromis ?
Le piratage désactive les journaux, ce qui rend difficile la détection d’une compromission.
Pourquoi ces attaques sont-elles préoccupantes ?
Ces attaques permettent un accès persistant et non autorisé aux routeurs, les transformant en dispositifs d’un botnet potentiel.
