Une campagne de porte dérobée impacte les routeurs ASUS, rendant certains utilisateurs encore vulnérables après des mises à jour logicielles. La société de cybersécurité Greynoise a mis en évidence que des accès non autorisés continuent malgré la correction d’une faille précédemment signalée.
- Une faille dans les routeurs ASUS persiste malgré les mises à jour.
- Greynoise a révélé que des accès non autorisés continuent après la correction d'une faille.
- Les cyberpirates ont exploité des informations d'identification faibles et deux contournements d'authentification.
- Les attaquants ont installé leur propre clé publique SSH pour garantir un accès durable.
Contexte de la violation
Les routeurs ASUS ont été ciblés dans une campagne furtive de porte dérobée qui persiste après les efforts de mise à jour du micrologiciel. Ces conclusions ont été révélées par Greynoise, une entreprise spécialisée en cybersécurité, le 28 mai 2025 après avoir collaboré avec des partenaires gouvernementaux et industriels.
Méthodes d’intrusion
Les cyberpirates ont exploité des informations d’identification faibles ainsi que deux contournements d’authentification pour accéder aux systèmes. Ils se sont servis de la vulnérabilité corrigée CVE-2023-39780 pour exécuter des commandes non autorisées.
Au lieu d’installer un logiciel malveillant, les attaquants ont permis un accès SSH sur le port 53282, utilisant des paramètres légitimes et installant leur propre clé publique SSH. Ces modifications, intégrées à la mémoire non volatile du dispositif, garantissent que la porte dérobée reste opérationnelle même après redémarrage ou mise à jour du micrologiciel.
Capacités furtives et exposition
Bien que Greynoise n’ait pas établi de lien direct avec un groupe spécifique, l’expertise démontrée dans cette attaque semble indiquer l’implication d’acteurs avancés en matière de menace persistante. L’infrastructure mise en place pourrait viser à garantir un accès durable au sein d’un réseau plus vaste.
Un rapport indique qu’au 27 mai, plus de 9 000 routeurs ASUS montraient déjà des signes de compromission, ce chiffre continuant à croître avec le temps.
Recommandations pour minimiser les risques
Greynoise propose plusieurs mesures immédiates pour sécuriser les dispositifs exposés :
- D’effectuer régulièrement des mises à jour du firmware
- D’utiliser des mots de passe forts lors de l’accès au routeur
- Désactiver la gestion à distance quand cela n’est pas nécessaire
Enfin, l’établissement régulier d’un pare-feu réseau simple peut efficacement réduire l’exposition aux menaces extérieures. Il est également conseillé aux utilisateurs de suivre attentivement les conseils fournis par leurs fournisseurs tels qu’ASUS afin de rester informés sur les mises à jour vitales ou alertes concernant les menaces émergentes.
