Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, exposant des données sensibles. Cette cyberattaque met en lumière la vulnérabilité des appareils connectés et l’importance cruciale d’une sécurité renforcée pour protéger nos réseaux domestiques. La menace plane, et la vigilance s’impose.
Compromission des routeurs sans fil ASUS
Des chercheurs en sécurité de GreyNoise ont détecté une exploitation ciblant des milliers de routeurs sans fil ASUS, ainsi que des dispositifs de Cisco, D-Link et Linksys. Cette campagne malveillante permet aux attaquants de maintenir un accès constant aux routeurs compromis, même après une mise à jour du firmware.
GreyNoise a identifié une campagne d’exploitation en cours, où les attaquants ont obtenu un accès non autorisé et persistant à des milliers de routeurs ASUS exposés sur Internet. Cela semble faire partie d’une opération discrète visant à assembler un réseau distribué d’appareils backdoor.
L’accès des attaquants persiste même après des redémarrages et des mises à jour du firmware, leur permettant ainsi de garder le contrôle sur les dispositifs affectés. Les attaquants maintiennent un accès à long terme sans déposer de malware ni laisser de traces évidentes, en exploitant des vulnérabilités connues et en abusant des fonctionnalités légitimes de configuration.
Il se pourrait qu’un État-nation soit derrière cette attaque, avec des plans pour utiliser ces routeurs compromis dans le cadre d’une exploitation à grande échelle.
Les modèles de routeurs ASUS concernés incluent le RT-AC3100, le RT-AC3200 et le RT-AX55.
Une fois qu’un routeur est compromis, il est trop tard pour mettre à jour le firmware, avertit Bleeping Computer.
Ces modifications permettent aux acteurs de la menace de conserver un accès backdoor au dispositif même entre les redémarrages et les mises à jour du firmware. “Parce que cette clé est ajoutée à l’aide des fonctionnalités officielles d’ASUS, cette modification de configuration persiste à travers les mises à jour du firmware,” explique un autre rapport lié de GreyNoise.
“Si vous avez été exploité précédemment, la mise à niveau de votre firmware NE supprimera PAS la backdoor SSH.”
L’exploitation désactive également les journaux, rendant difficile la détection d’une compromission.
Que faire
Si vous possédez l’un des modèles ASUS listés, il est recommandé de réinitialiser votre routeur aux paramètres d’usine comme unique moyen de garantir sa propreté. Par la suite, effectuez une mise à jour du firmware. Bien qu’une mise à jour seule ne supprimera pas l’infection, la mise à jour après une réinitialisation complète empêchera une nouvelle compromission.
Aucune information sur une infection réussie des autres marques mentionnées n’est à signaler, donc aucune mesure n’est requise pour celles-ci.
Pour en savoir plus, consultez GreyNoise.
Accessoires en vedette
Image : collage de 9to5Mac d’images provenant d’ASUS et de Mathias Reding sur Unsplash
Nous utilisons des liens d’affiliation auto-gagnants. Plus.
Qu’est-ce qui a compromis les routeurs sans fil ASUS ?
Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, restant sous le contrôle des attaquants même après des mises à jour du firmware.
Quels modèles de routeurs ASUS sont affectés ?
Les modèles affectés incluent le RT-AC3100, RT-AC3200 et RT-AX55.
Que faire si mon routeur est compromis ?
Il est recommandé de réinitialiser complètement le routeur aux paramètres d’usine et de faire une mise à jour du firmware ensuite.
Pourquoi une mise à jour du firmware ne suffit-elle pas ?
Une mise à jour seule ne supprimera pas l’infection, car l’accès des attaquants persiste même après le redémarrage et les mises à jour.
Discussion about this post