Des milliers de routeurs sans fil ASUS ont été compromis par un puissant botnet, exposant les utilisateurs à des risques de sécurité majeurs. Cette attaque met en lumière la vulnérabilité des appareils connectés et souligne l’importance d’une cybersécurité robuste dans un monde de plus en plus numérique.
Sommaire :
Compromission des routeurs sans fil ASUS
Depuis quelques mois, des chercheurs en sécurité ont découvert une exploitation massive touchant des milliers de routeurs sans fil ASUS, gérés par un botnet. Le botnet vit également des attaques contre des appareils de marques réputées telles que Cisco, D-Link et Linksys. Ce type d’infection permet aux attaquants de garder le contrôle sur les routeurs, même après une mise à jour du firmware.
Les chercheurs de GreyNoise ont détecté cette exploitation en mars, mais ont choisi de tenir l’information secrète pour permettre à l’industrie de se préparer efficacement à une réponse.
Selon GreyNoise, « Une campagne d’exploitation en cours a permis aux attaquants d’obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés sur Internet. Cette opération semble faire partie d’une manœuvre discrète pour assembler un réseau distribué d’appareils compromis, potentiellement avec l’intention de constituer un botnet à grande échelle. »
L’accès persistant des attaquants survit aux redémarrages et aux mises à jour du firmware, leur garantissant ainsi un contrôle durable sur les appareils affectés. Ils s’assurent un accès à long terme sans déposer de malwares visibles, en reliant des contournements d’authentification, en exploitant une vulnérabilité connue, et en abusant des fonctionnalités de configuration légitimes.
Des soupçons pèsent sur la possibilité qu’un État-nation soit à l’origine de cette attaque, avec l’objectif de tirer parti des routeurs compromis pour des opérations d’exploitation massive.
Modèles ASUS touchés
Parmi les modèles de routeurs ASUS concernés, on retrouve les RT-AC3100, RT-AC3200 et RT-AX55. Il est important de mentionner qu’une fois qu’un routeur a été compromis, il devient vain d’essayer d’effectuer une mise à jour du firmware, comme le signale Bleeping Computer.
Les modifications effectuées par les acteurs de la menace leur permettent de conserver un accès secret à l’appareil, même entre les redémarrages et les mises à jour du firmware. « Comme cette clé est ajoutée via des fonctionnalités officielles d’ASUS, ce changement de configuration persiste à travers les mises à jour de firmware, » explique un rapport connexe de GreyNoise.
“Si vous avez été compromis précédemment, la mise à jour de votre firmware n’éliminera PAS la porte dérobée SSH.”
Le dispositif d’exploitation désactive également les journaux, rendant difficile la détection d’une éventuelle compromission de votre routeur.
Recommandations
Si vous possédez l’un des modèles ASUS menacés, il est vivement recommandé de réinitialiser votre routeur aux paramètres d’usine pour garantir qu’il soit exempt de toute infection. Ensuite, effectuez une mise à jour du firmware. Bien qu’une mise à jour seule ne supprime pas l’infection, effectuer cette opération après une réinitialisation complète empêchera une nouvelle compromission.
Aucune infection réussie des autres marques mentionnées n’a été signalée jusqu’à présent, donc aucune action n’est requise à ce stade pour ces appareils.
Pour en savoir plus sur cette affaire, vous pouvez consulter le site de GreyNoise.
Accessoires en vedette
Image : collage de 9to5Mac d’images d’ASUS.
FTC : Nous utilisons des liens d’affiliation générant des revenus. Plus.
Qu’est-ce qui s’est passé avec les routeurs ASUS ?
Des milliers de routeurs sans fil ASUS ont été compromis par un botnet, qui a également ciblé des appareils Cisco, D-Link et Linksys. Les attaquants gardent le contrôle des routeurs même après une mise à jour du firmware.
Comment rester à l’abri ?
Il est recommandé de réinitialiser complètement votre routeur ASUS affecté pour garantir qu’il est propre. Après cela, effectuez une mise à jour du firmware pour empêcher une nouvelle compromission.
Quels modèles de routeurs ASUS sont affectés ?
Les modèles affectés comprennent le RT-AC3100, RT-AC3200 et RT-AX55.
Quelle est la gravité de l’attaque ?
On pense qu’un État-nation pourrait être à l’origine de l’attaque, avec l’intention d’utiliser les routeurs compromis pour des exploits à grande échelle.
Bonjour, je m’appelle Manu Dibango et j’ai 37 ans. Cadre supérieur dans l’administration, je suis passionné par la gestion et l’organisation. Bienvenue sur Camernews où je partage ma veille sur les nouvelles technologies et l’innovation.
