Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, exposant ainsi des données sensibles à des cyberattaques. Cette vulnérabilité, découverte récemment, souligne l’importance cruciale d’une sécurité renforcée dans nos appareils connectés. La menace croissante des botnets requiert une vigilance accrue de la part des utilisateurs.
Compromission des routeurs sans fil ASUS
Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, qui a également ciblé des dispositifs de marques telles que Cisco, D-Link et Linksys. Les chercheurs en sécurité de Greynoise ont d’abord détecté l’exploitation en mars, mais ont choisi de ne pas la rendre publique immédiatement afin de permettre à l’industrie de coordonner une réponse adéquate.
GreyNoise a identifié une campagne d’exploitation en cours où des attaquants ont obtenu un accès non autorisé et persistant à des milliers de routeurs ASUS exposés sur Internet. Cela semble faire partie d’une opération discrète visant à assembler un réseau distribué de dispositifs de porte dérobée — potentiellement préparant le terrain pour un botnet futur […]
L’accès des attaquants survit à la fois aux redémarrages et aux mises à jour du firmware, leur offrant un contrôle durable sur les appareils affectés. Ils conservent un accès à long terme sans déposer de logiciels malveillants ni laisser de traces évidentes en enchaînant des contournements d’authentification, en exploitant une vulnérabilité connue et en abusant des fonctionnalités de configuration légitimes.
Un potentiel acteur d’État derrière l’attaque
Il est suspecté qu’un État-nation soit à l’origine de cette attaque, prévoyant d’utiliser les routeurs compromis pour une exploitation à grande échelle. Les modèles de routeurs ASUS affectés incluent le RT-AC3100, le RT-AC3200 et le RT-AX55.
Une fois que votre routeur a été compromis, il est trop tard pour mettre à jour le firmware. Comme le souligne Bleeping Computer, les modifications apportées permettent aux acteurs de la menace de conserver un accès de porte dérobée à l’appareil même entre les redémarrages et les mises à jour du firmware.
“Cette clé est ajoutée à l’aide des fonctionnalités officielles d’ASUS, ce qui signifie que ce changement de configuration persiste à travers les mises à jour du firmware,” explique un rapport connexe de GreyNoise.
“Si vous avez déjà été exploité, la mise à niveau de votre firmware ne supprimera PAS la porte dérobée SSH.”
Problèmes de journalisation et de sécurité
L’exploitation désactive également la journalisation, rendant difficile de déterminer si votre routeur a été compromis. Les utilisateurs doivent donc être particulièrement vigilants à ce sujet.
Mesures à prendre
Pour ceux qui possèdent l’un des modèles ASUS listés, il est recommandé de réinitialiser le routeur aux paramètres d’usine comme seule solution pour garantir qu’il est propre. Suite à cela, effectuez une mise à jour du firmware. Bien qu’une mise à jour seule ne supprime pas l’infection, le fait de mettre à jour après une réinitialisation complète empêchera une nouvelle compromission.
Aucune information ne fait état d’infections réussies concernant les autres marques mentionnées, donc aucune action n’est requise pour celles-ci.
Pour en savoir plus sur le sujet, vous pouvez consulter le site de Greynoise.
Accessoires en vedette
Image : collage 9to5Mac d’images d’ASUS et de Mathias Reding sur Unsplash
Nous utilisons des liens d’affiliation générant des revenus. Plus.
### Qu’est-ce qui s’est passé avec les routeurs ASUS ?
Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, affectant également des appareils Cisco, D-Link et Linksys. Les chercheurs en sécurité ont détecté cette exploitation en mars.
### Comment les attaquants conservent-ils l’accès ?
L’accès des attaquants persiste même après un redémarrage ou une mise à jour du firmware. Cela leur permet de contrôler durablement les dispositifs affectés sans laisser de traces évidentes.
### Que faire si mon routeur est compromis ?
Si vous possédez l’un des modèles ASUS affectés, il est recommandé de réinitialiser votre routeur aux paramètres d’usine, puis de procéder à une mise à jour du firmware.
### Quels modèles de routeurs sont concernés ?
Les modèles ASUS affectés incluent le RT-AC3100, RT-AC3200 et RT-AX55. Il n’y a pas eu d’infection réussie rapportée pour les autres marques mentionnées.
