Des milliers de routeurs Asus sont affectés par des portes dérobées furtives et persistantes, qui permettent un contrôle administratif total et survivent aux redémarrages et aux mises à jour des microprogrammes.Selon des chercheurs, des milliers de routeurs domestiques et de petits routeurs de bureau fabriqués par Asus sont infectés par une porte dérobée furtive qui peut survivre aux redémarrages et aux mises à jour du micrologiciel dans le cadre d'une attaque menée par un État-nation ou un autre acteur de menace disposant de ressources suffisantes. Les attaquants inconnus accèdent aux appareils en exploitant des vulnérabilités désormais corrigées, dont certaines n'ont jamais été répertoriées dans le système CVE internationalement reconnu. Après avoir pris le contrôle administratif non autorisé des appareils, l'auteur de la menace installe une clé de chiffrement publique pour accéder à l'appareil via SSH. Dès lors, toute personne possédant la clé privée peut automatiquement se connecter à l'appareil avec des droits d'administration.
ASUSTeK Computer Inc. ou ASUS est un fabricant multinational taïwanais d'ordinateurs, de matériel téléphonique et d'électronique. Ses produits comprennent des ordinateurs de bureau, des ordinateurs portables, des netbooks, des téléphones mobiles, des équipements de réseau, des moniteurs, des routeurs Wi-Fi, des projecteurs, des cartes mères, des cartes graphiques, du stockage optique, des produits multimédias, des périphériques, des vêtements, des serveurs, des stations de travail et des tablettes PC.
Un nouveau rapport de GreyNoise a révélé que des milliers de routeurs ASUS ont été compromis par des portes dérobées sans logiciels malveillants dans le cadre d'une campagne en cours visant à créer un futur réseau de zombies. Les acteurs de la menace abusent des vulnérabilités de sécurité et des fonctions légitimes des routeurs pour établir un accès persistant sans utiliser de logiciels malveillants, et ces portes dérobées survivent aux redémarrages et aux mises à jour du micrologiciel, ce qui les rend difficiles à supprimer.
Les attaques, que les chercheurs soupçonnent d'être menées par des acteurs très sophistiqués, ont été détectées pour la première fois par l'outil Sift de GreyNoise, alimenté par l'IA, à la mi-mars et ont été divulguées récemment après coordination avec des responsables gouvernementaux et des partenaires de l'industrie.
Sekoia.io a également signalé la compromission de milliers de routeurs ASUS dans le cadre de son enquête sur une campagne plus vaste, baptisée ViciousTrap, dans laquelle des périphériques d'autres marques ont également été compromis pour créer un réseau de pot de miel. Sekoia.io a découvert que les routeurs ASUS n'ont pas été utilisés pour créer des "honeypot", et que les acteurs de la menace ont obtenu un accès SSH en utilisant le même port, TCP/53282, identifié par GreyNoise dans son rapport.
Voici un extrait du rapport de GreyNoise :
GreyNoise a identifié une campagne d'exploitation en cours dans laquelle les attaquants ont obtenu un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à l'internet. Cela semble faire partie d'une opération furtive visant à assembler un réseau distribué de dispositifs à porte dérobée - jetant potentiellement les bases d'un futur réseau de zombies.
Les tactiques utilisées dans cette campagne - accès initial furtif, utilisation des fonctions intégrées du système pour la persistance et évitement minutieux de la détection - sont conformes à celles observées dans les opérations avancées à long terme, y compris les activités associées aux acteurs des menaces persistantes avancées (APT) et aux réseaux de boîtes de relais opérationnelles (ORB). Bien que GreyNoise n'ait fait aucune attribution, le niveau de savoir-faire suggère un adversaire bien pourvu en ressources et très compétent.
L'accès de l'attaquant survit aux redémarrages et aux mises à jour du micrologiciel, ce qui lui permet de contrôler durablement les appareils concernés. L'attaquant conserve un accès à long terme sans déposer de logiciels malveillants ni laisser de traces évidentes en enchaînant les contournements d'authentification, en exploitant une vulnérabilité connue et en abusant des fonctions de configuration légitimes.
L'activité a été découverte par Sift - l'outil propriétaire de GreyNoise d'analyse des charges utiles du réseau alimenté par l'IA - en combinaison avec des profils de routeurs ASUS entièrement émulés fonctionnant dans la grille d'observation mondiale de GreyNoise. Ces outils nous ont permis de détecter des tentatives d'exploitation subtiles enfouies dans le trafic mondial et de reconstituer la séquence d'attaque complète.
La campagne de portes dérobées cible plusieurs modèles de routeurs ASUS, GreyNoise ayant initialement détecté des tentatives d'attaque contre leurs profils de micrologiciels émulés ASUS RT-AC3200 et RT-AC3100, tous deux avec des paramètres de configuration "prêts à l'emploi". L'accès initial est obtenu par une combinaison de forçage d'identifiants et d'exploitation de failles de contournement d'authentification, qui sont corrigées mais n'ont pas reçu de CVE, selon GreyNoise.
Les techniques de contournement de l'authentification utilisées comprennent l'usurpation de l'agent utilisateur ASUS « asusrouter-- » et l'utilisation d'un cookie « asus_token= » suivi d'un octet nul, ce qui peut mettre fin prématurément à l'analyse de la chaîne pendant le processus d'authentification et conduire à un contournement de l'authentification sur les systèmes vulnérables, selon l'analyse technique de GreyNoise.
Sekoia.io a également noté l'exploitation de CVE-2021-32030 dans ses observations, une faille de contournement d'authentification affectant spécifiquement les appareils ASUS GT-AC2900 et Lyra Mini. une fois que l'attaquant obtient un accès authentifié, il exploite les paramètres intégrés et les failles de sécurité pour établir une connexion SSH sur TCP/53282 avec une clé publique contrôlée par l'attaquant pour un accès persistant à distance.
Sur les modèles ASUS RT-AX55 qui n'ont pas reçu de correctif pour la vulnérabilité CVE-2023-39780, les attaquants exploitent cette vulnérabilité par injection de commande pour activer une fonctionnalité de journalisation intégrée appelée Bandwidth SQLite Logging (BWSQL). Le code utilisé par cette fonction de journalisation permet l'exécution de données contrôlées par l'utilisateur, élargissant ainsi la capacité de l'attaquant à injecter des commandes malveillantes.
La configuration de la porte dérobée dans ces attaques est stockée dans la mémoire vive non volatile (NVRAM) plutôt que sur le disque, ce qui la rend résistante à la suppression par redémarrage ou mise à jour du micrologiciel. "Si un routeur a été compromis avant la mise à jour, la porte dérobée sera toujours présente à moins que l'accès SSH ne soit explicitement examiné et supprimé", a déclaré GreyNoise.
GreyNoise recommande aux utilisateurs d'effectuer une réinitialisation d'usine complète et une reconfiguration manuelle sur tout appareil suspecté d'être compromis. Les utilisateurs peuvent vérifier si leur appareil a été compromis en recherchant un accès SSH sur TCP/53282 et des entrées non autorisées dans le fichier authorized_keys. Les organisations doivent également bloquer les adresses IP malveillantes identifiées dans les rapports de GreyNoise et de Sekoia.io et s'assurer que leurs appareils sont entièrement mis à jour pour corriger les vulnérabilités de sécurité susceptibles d'être utilisées par les attaquants.
Source : Rapport de GreyNoise
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Des pirates ont détourné le système de mise à jour logicielle d'ASUS pendant plusieurs mois pour installer une porte dérobée sur des milliers de PC BlackTech, des cyber-acteurs liés à la Chine, peuvent se cacher dans le micrologiciel d'un routeur. Les États-Unis et le Japon publient un avis de mise en garde contre leurs activités Un mystérieux logiciel malveillant détruit en trois jours plus de 600 000 routeurs et oblige le FAI à tous les remplacer. L'attaquant a écrasé de façon permanente le micrologiciel des routeurs affectés
Vous avez lu gratuitement 11 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.