Attention : des milliers de routeurs Asus compromis par des portes dérobées furtives
Une campagne de cyberattaques ciblant massivement les routeurs Asus a été détectée récemment, mettant en lumière une menace préoccupante en matière de sécurité réseau. Selon les chercheurs en cybersécurité de GreyNoise, cette attaque, surnommée ViciousTrap, a commencé à mi-mars et semble liée potentiellement à un acteur étatique, compte tenu de sa sophistication et de la manière dont les informations ont été gérées.
Une campagne d’envergure ciblant 9 500 routeurs Asus
Les enquêteurs de GreyNoise font écho à une précédente alerte de la société Sekoia, révélant qu’environ 9 500 routeurs Asus pourraient avoir été infiltrés par ce groupe malveillant. L’opération repose sur l’exploitation de plusieurs vulnérabilités présentes dans les firmwares des appareils, permettant aux pirates d’installer des portes dérobées pour un contrôle à distance furtif.
Exploitation de vulnérabilités corrigées, mais encore dangereuses
Parmi les failles exploitées figure notamment la CVE-2023-39780, une vulnérabilité d’injection de commandes qui autorise l’exécution de commandes système à distance. Asus a publié des correctifs dans des mises à jour récentes, mais d’autres failles non référencées officiellement ont également été utilisées. Cela souligne l’importance cruciale de maintenir ses équipements à jour.
Comment reconnaître et éliminer ces portes dérobées ?
Il n’existe pas de notification automatique de l’infection. Pour vérifier si votre routeur est compromis, il faut inspecter les paramètres SSH dans le panneau de configuration. Un routeur infecté permettra une connexion SSH via le port 53282 avec une clé numérique spécifique commençant par :
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
La suppression de cette clé et la fermeture du port suspect dans les paramètres SSH permettent de neutraliser la porte dérobée. En outre, des connexions entrantes provenant des adresses IP suivantes sont un indice fort d’intrusion : 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237.
Une vigilance indispensable pour tous les utilisateurs
Bien que cette campagne cible spécifiquement les routeurs Asus, il est recommandé à tous les utilisateurs d’appareils connectés de vérifier régulièrement les mises à jour de leurs équipements et de renforcer la sécurité de leurs réseaux domestiques ou professionnels. Une bonne hygiène numérique reste la meilleure défense contre ce type de menace persistante.
En résumé, la menace posée par les portes dérobées dans les routeurs est une alerte à ne pas prendre à la légère. Une surveillance attentive et des actions rapides sont nécessaires pour protéger vos données et votre vie privée.
👉 Source ici
