Depuis mars 2025, une campagne de piratage très discrète vise les routeurs ASUS exposés sur Internet. L’entreprise de cybersécurité GreyNoise a récemment révélé que des milliers de ces appareils avaient été infectés sans laisser de traces visibles. Le niveau de sophistication des attaques laisse penser à un groupe très expérimenté, voire étatique. Le but semble être classique : constituer un botnet.
🛡️ En matière de sites internet, n’oubliez pas l’importance d’héberger vos services web chez un hébergeur sécurisé, comme LRob, qui protège vos données bien au-delà de l’infrastructure de base.
Sommaire
En résumé : ce qu’il faut savoir
- Près de 9 000 routeurs ASUS sont aujourd’hui compromis.
- L’attaque permet un accès persistant, même après redémarrage ou mise à jour du firmware.
- Aucun malware n’est utilisé : les fonctions officielles des routeurs sont détournées.
- L’objectif : constituer un botnet, ou réseau fantôme de machines sous contrôle, potentiellement pour de futures attaques.
- Les failles utilisées combinent brute-force, bypass d’authentification et injection de commandes.
- ASUS a publié un correctif partiel, mais les routeurs déjà compromis restent vulnérables.
1. Comment les pirates ont pris le contrôle
Les chercheurs de GreyNoise ont identifié plusieurs méthodes utilisées pour obtenir un accès initial aux routeurs :
- Tentatives de connexion par force brute, utilisant des identifiants simples ou par défaut.
- Deux failles d’authentification non documentées (pas de CVE).
- Exploitation d’une faille connue : CVE-2023-39780, qui permet l’exécution de commandes système sur le routeur.
2. Un accès durable et silencieux
Une fois à l’intérieur, les pirates ne laissent aucun programme malveillant. Ils activent l’accès SSH sur un port inhabituel (TCP/53282), puis insèrent leur propre clé publique SSH, ce qui leur donne un accès distant illimité.
Ces modifications sont enregistrées dans la mémoire non volatile (NVRAM) du routeur — elles survivent aux redémarrages et mises à jour firmware.
Le but probable des pirates : constituer un botnet de routeurs, c’est à dire un ensemble de périphériques disponibles pour mener diverses attaques ultérieures.
3. Une campagne conçue pour passer inaperçue
L’une des forces de cette opération est sa discrétion extrême :
- Les journaux système sont désactivés, empêchant toute trace locale.
- Les modifications passent par les interfaces officielles ASUS, ce qui les rend encore plus difficiles à détecter.
- Seulement 30 requêtes suspectes détectées en 3 mois par GreyNoise.
4. Que faire si vous utilisez un routeur ASUS ?
GreyNoise recommande plusieurs actions immédiates :
- Vérifiez la présence d’un accès SSH sur le port
53282. - Examinez les clés SSH autorisées sur votre routeur (fichier
authorized_keys). - Bloquez les adresses IP suivantes :
101.99.91.151101.99.94.17379.141.163.179111.90.146.237
- En cas de doute : réinitialisez le routeur aux paramètres d’usine, puis reconfigurez-le manuellement.
5. ASUS a-t-il corrigé la faille ?
Oui, ASUS a publié une mise à jour de firmware pour corriger CVE-2023-39780 ainsi que d’autres failles non répertoriées. Cependant, les appareils déjà compromis restent vulnérables si la configuration malveillante SSH n’est pas supprimée manuellement.
Un rappel important sur la sécurité des infrastructures
Cette attaque montre à quel point les appareils connectés peuvent devenir des portes d’entrée invisibles pour des campagnes de piratage à grande échelle.
Chez LRob, hébergeur web haute sécurité, nous partons du principe que la sécurité ne doit jamais être une option. Nos infrastructures sont surveillées 24/7, segmentées, durcies, et nos clients bénéficient de couches de défense multiples pour éviter ce type de compromission.
Sources
Analyse complète sur le site de GreyNoise :
https://www.greynoise.io/blog/stealthy-backdoor-campaign-affecting-asus-routers
Étude technique GreyNoise :
https://www.labs.greynoise.io/grimoire/2025-03-28-ayysshush/
Laisser un commentaire