Des milliers de routeurs Asus compromis par un malware « ViciousTrap »
Un tout nouveau danger émerge pour de nombreux utilisateurs de routeurs Asus, mettant en lumière des vulnérabilités tests. Bien que des correctifs aient été appliqués, l’existence d’une campagne malveillante, associée à un accès non autorisé, soulève des questions sur la sécurité de ces appareils.
Des analystes de GreyNoise ont découvert une mystérieuse campagne basée sur un backdoor affectant plus de 9 000 routeurs Asus. Les cybercriminels inconnus exploitent des failles de sécurité, dont certaines ont déjà été corrigées, tandis que d’autres n’ont jamais été correctement enregistrées dans la base de données CVE. L’histoire regorge d’« inconnues », alors que les attaquants n’ont pas encore agi de manière visible avec le botnet qu’ils ont construit.
Le backdoor, désormais suivi sous le nom de « ViciousTrap », a été identifié pour la première fois par le système d’IA propriétaire de GreyNoise, Sift. L’IA a détecté un trafic anormal en mars, incitant les chercheurs à enquêter sur cette nouvelle menace et à informer les autorités gouvernementales d’ici la fin du mois. Maintenant, quelques jours après qu’une autre entreprise de sécurité ait divulgué la campagne, GreyNoise a publié un article de blog site de ventes ViciousTrap.
Selon les chercheurs, des milliers d’appareils réseau Asus ont déjà été compromis par ce backdoor furtif. Les attaquants obtiennent d’abord l’accès en exploitant plusieurs failles de sécurité et en contournant l’authentification par des tentatives de connexion par force brute. Ils exploitent ensuite une autre vulnérabilité (CVE-2023-39780) pour exécuter des commandes sur le routeur, abusant d’une fonction légitime d’Asus pour activer l’accès SSH sur un port TCP/IP spécifique et injecter une clé de chiffrement publique.
Les acteurs de la menace peuvent ensuite utiliser leur clé privée pour accéder à distance aux routeurs compromis. Le backdoor est stocké dans la NVRAM de l’appareil et peut persister même après un redémarrage ou une mise à jour du firmware. Selon GreyNoise, le backdoor est essentiellement invisible, avec les journaux désactivés pour échapper encore plus à la détection.
La campagne ViciousTrap s’étend lentement, mais les attaquants n’ont pas encore révélé leurs intentions à travers des actions ou des attaques spécifiques. Asus a déjà corrigé les vulnérabilités exploitées dans les récentes mises à jour de firmware. Cependant, tout backdoor existant restera fonctionnel à moins qu’un administrateur n’ait passé en revue et désactivé manuellement l’accès SSH.
Pour remédier à la situation, les administrateurs doivent retirer la clé publique utilisée pour l’accès SSH non autorisé et réinitialiser toutes les configurations de port TCP/IP personnalisées. Une fois ces étapes effectuées, les routeurs Asus affectés devraient revenir à leur état d’origine, non compromis.
GreyNoise conseille également aux administrateurs réseau de surveiller le trafic pour des connexions provenant des adresses IP suspectes suivantes :
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
Enfin, les chercheurs avertissent les propriétaires de routeurs d’installer toujours les dernières mises à jour de firmware. « Si une compromission est suspectée, effectuez une réinitialisation d’usine complète et reconfigurez manuellement », ont-ils déclaré.
