Des milliers de routeurs Asus sont touchés par des portes dérobées furtives et persistantes
-
Des milliers de routeurs domestiques et de petits bureaux fabriqués par Asus sont infectés par une porte dérobée furtive qui peut survivre aux redémarrages et aux mises à jour du micrologiciel lors d’une attaque par un État-nation ou un autre acteur de menace bien doté en ressources, ont déclaré les chercheurs.
Les attaquants inconnus accèdent aux appareils en exploitant des vulnérabilités désormais corrigées, dont certaines n’ont jamais été identifiées par le système CVE, reconnu internationalement. Après avoir pris le contrôle administratif non autorisé des appareils, l’attaquant installe une clé de chiffrement publique pour y accéder via SSH. Dès lors, toute personne disposant de la clé privée peut se connecter automatiquement à l’appareil avec des droits d’administrateur.
Contrôle durable
« L’accès de l’attaquant survit aux redémarrages et aux mises à jour du micrologiciel, ce qui lui confère un contrôle durable sur les appareils affectés », ont rapporté mercredi des chercheurs de l’entreprise de sécurité GreyNoise . « L’attaquant conserve un accès à long terme sans installer de logiciel malveillant ni laisser de traces visibles en enchaînant les contournements d’authentification, en exploitant une vulnérabilité connue et en abusant de fonctionnalités de configuration légitimes. »
GreyNoise affirme avoir repéré environ 9 000 appareils à travers le monde qui ont été victimes d’une porte dérobée lors de la campagne en cours. Ce nombre ne cesse d’augmenter. Les chercheurs de l’entreprise affirment n’avoir aucune indication que l’acteur malveillant ait déployé les appareils infectés dans le cadre d’une quelconque activité. Ces piratages semblent plutôt être les prémices d’une accumulation massive d’appareils compromis en vue d’une utilisation ultérieure.
GreyNoise a déclaré avoir détecté la campagne à la mi-mars et avoir attendu d’en informer des agences gouvernementales anonymes pour en faire état. Ce détail suggère également que l’auteur de la menace pourrait avoir un lien avec un État-nation.
Les chercheurs de l’entreprise ont ensuite précisé que l’activité observée s’inscrivait dans le cadre d’une campagne plus vaste signalée la semaine dernière par Sekoia, une autre société de sécurité. Les chercheurs de Sekoia ont indiqué que les analyses Internet effectuées par Censys, une société de renseignement réseau, suggéraient que jusqu’à 9 500 routeurs Asus pourraient avoir été compromis par ViciousTrap, le nom utilisé pour traquer l’acteur malveillant inconnu.
Les attaquants utilisent des portes dérobées pour accéder aux appareils en exploitant plusieurs vulnérabilités. L’une d’elles est la CVE-2023-39780, une faille d’injection de commandes permettant l’exécution de commandes système, corrigée par Asus dans une récente mise à jour du firmware, selon GreyNoise. Les autres vulnérabilités ont également été corrigées, mais n’ont pas reçu de désignation CVE pour des raisons inconnues.
Le seul moyen pour les utilisateurs de routeurs de déterminer si leurs appareils sont infectés est de vérifier les paramètres SSH dans le panneau de configuration. Les routeurs infectés indiqueront que l’appareil peut être connecté via SSH sur le port 53282 à l’aide d’un certificat numérique dont la clé est tronquée.
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
Pour supprimer la porte dérobée, les utilisateurs infectés doivent supprimer la clé et le paramètre de port.
Les utilisateurs peuvent également déterminer s’ils ont été ciblés si les journaux système indiquent qu’ils ont été consultés via les adresses IP 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 ou 111.90.146[.]237. Les utilisateurs de routeurs, quelle que soit leur marque, doivent toujours s’assurer que leurs appareils reçoivent les mises à jour de sécurité en temps opportun.
