Routeurs d’Asus et populaires et bien révisés. En tant que tel, il y a de fortes chances que vous ayez l’un de ses appareils qui alimente votre WiFi à domicile. Si vous le faites, vous devriez probablement y vérifier, car des milliers de routeurs d’Asus sont désormais compromis.
Ce qui s’est passé?
La société de cybersécurité Greynoise a publié mercredi un article de blog sur cette attaque de routeur. Greynoise dit que les attaquants ont utilisé des tentatives de connexion par force brute (exécuter des millions de tentatives de connexion jusqu’à ce que la bonne correspondance soit trouvée) et l’authentification contourne (forçant votre chemin dans les protocoles d’authentification traditionnels) à pénétrer dans ces routeurs. Notamment, les pirates ont utilisé des techniques de contournement d’authentification qui ne sont pas affectées à CVE (vulnérabilités et expositions communes). Les CVE sont des étiquettes utilisées pour suivre les vulnérabilités de sécurité divulguées publiquement, ce qui signifie que les vulnérabilités de sécurité étaient inconnues ou connues uniquement d’un cercle limité.
Une fois, les pirates ont exploité la vulnérabilité CVE-2023-39780 du routeur ASUS pour exécuter les commandes qu’ils voulaient. Les pirates ont permis à SSH (Secure Shell) l’accès via les paramètres d’Asus, qui leur permettent de se connecter et de contrôler les appareils. Ils ont ensuite stocké la configuration – ou la porte dérobée – dans NVRAM, plutôt que le disque du routeur. Les pirates n’ont pas laissé de logiciels malveillants, et même la journalisation handicapée, ce qui rend leurs attaques difficiles à détecter.
Il n’est pas clair qui est derrière ces attaques, mais Greynoise a dit ce qui suit: « Les tactiques utilisées dans cette campagne – un accès initial durable, l’utilisation des fonctionnalités du système intégré pour la persistance et l’évitement minutieux de la détection – sont cohérents avec ceux observés dans les opérations avancées, à long terme, y compris l’activité associée à une menace persistante avancée. Tradecraft suggère un adversaire très ressourcé et très compétent. «
Comment Greynoise a-t-il découvert?
SIFT, la technologie AI de Greynoise, a d’abord détecté un problème le 17 mars, remarquant un trafic inhabituel. Greynoise utilise des profils ASUS entièrement imités en cours d’exécution du micrologiciel d’usine pour tester des problèmes comme ceux-ci, ce qui permet aux chercheurs d’observer le comportement complet des attaquants, de reproduire l’attaque et de découvrir comment la porte dérobée a été installée. Les chercheurs de la société ont reçu le rapport de SIFT le lendemain et ont commencé à rechercher, en coordonnant «les partenaires gouvernementaux et industriels».
Greynoise a indiqué qu’au 27 mai, près de 9 000 routeurs avaient été confirmés compromis. L’entreprise tire ces données de Censys, ce qui maintient l’onglet sur les appareils orientés sur Internet à travers le monde. Pour aggraver les choses, les appareils affectés ne continuent d’augmenter: à ce jour, il y avait 9 022 routeurs impactés répertoriés sur le site de Censys.
Heureusement, Greynoise rapporte que l’ASUS a corrigé la vulnérabilité de sécurité dans une récente mise à jour du micrologiciel. Cependant, si le routeur était compromis avant l’installation du patch, les pirates de porte dérobée placés dans le routeur ne seront pas supprimés. Même si c’est le cas, vous pouvez agir pour protéger votre routeur.
Si vous avez un routeur Asus, faites-le
Tout d’abord, confirmez que votre routeur est réellement fabriqué par Asus. Si c’est le cas, connectez-vous à votre routeur via votre navigateur Internet. La connexion à votre routeur varie selon l’appareil, mais selon ASUS, vous pouvez vous diriger vers www.asusrouter.com, ou entrez l’adresse IP de votre routeur dans votre barre d’adresse, puis connectez-vous à votre nom d’utilisateur et mot de passe d’Asus Router. ASUS dit que si c’est la première fois que vous vous êtes connecté au routeur, vous devrez configurer votre compte.
Que pensez-vous jusqu’à présent?
De là, identifiez l’option Paramètres « Activer SSD ». (Vous pouvez le trouver sous « Service » ou « Administration », selon PCMAG.) Vous saurez que le routeur est compromis si vous voyez que quelqu’un peut se connecter via SSH sur le port 53828 avec la clé suivante: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ (Le reste de la clé a été coupé pendant une durée).
Maintenant, désactivez l’entrée SSH et bloquez ces adresses IP:
-
101.99.91.151
-
101.99.94.173
-
79.141.163.179
-
111.90.146.237
De là, l’usine réinitialise votre routeur. Malheureusement, le patch ne suffira pas à lui seul, car l’attaque survit à une mise à jour. Une réinitialisation totale est le seul moyen de s’assurer que votre routeur est protégé.
Cependant, si vous voyez que votre routeur n’a pas été affecté ici, installez la dernière mise à jour du micrologiciel dès que possible. Routeurs non affectés qui installent le dernier correctif volonté être protégé de ce type d’attaque à l’avenir.
