Des milliers de routeurs Asus sont affect�s par des portes d�rob�es furtives et persistantes, qui permettent un contr�le administratif total et survivent aux red�marrages et aux mises � jour des microprogrammes.Selon des chercheurs, des milliers de routeurs domestiques et de petits routeurs de bureau fabriqu�s par Asus sont infect�s par une porte d�rob�e furtive qui peut survivre aux red�marrages et aux mises � jour du micrologiciel dans le cadre d'une attaque men�e par un �tat-nation ou un autre acteur de menace disposant de ressources suffisantes. Les attaquants inconnus acc�dent aux appareils en exploitant des vuln�rabilit�s d�sormais corrig�es, dont certaines n'ont jamais �t� r�pertori�es dans le syst�me CVE internationalement reconnu. Apr�s avoir pris le contr�le administratif non autoris� des appareils, l'auteur de la menace installe une cl� de chiffrement publique pour acc�der � l'appareil via SSH. D�s lors, toute personne poss�dant la cl� priv�e peut automatiquement se connecter � l'appareil avec des droits d'administration.
ASUSTeK Computer Inc. ou ASUS est un fabricant multinational ta�wanais d'ordinateurs, de mat�riel t�l�phonique et d'�lectronique. Ses produits comprennent des ordinateurs de bureau, des ordinateurs portables, des netbooks, des t�l�phones mobiles, des �quipements de r�seau, des moniteurs, des routeurs Wi-Fi, des projecteurs, des cartes m�res, des cartes graphiques, du stockage optique, des produits multim�dias, des p�riph�riques, des v�tements, des serveurs, des stations de travail et des tablettes PC.
Un nouveau rapport de GreyNoise a r�v�l� que des milliers de routeurs ASUS ont �t� compromis par des portes d�rob�es sans logiciels malveillants dans le cadre d'une campagne en cours visant � cr�er un futur r�seau de zombies. Les acteurs de la menace abusent des vuln�rabilit�s de s�curit� et des fonctions l�gitimes des routeurs pour �tablir un acc�s persistant sans utiliser de logiciels malveillants, et ces portes d�rob�es survivent aux red�marrages et aux mises � jour du micrologiciel, ce qui les rend difficiles � supprimer.
Les attaques, que les chercheurs soup�onnent d'�tre men�es par des acteurs tr�s sophistiqu�s, ont �t� d�tect�es pour la premi�re fois par l'outil Sift de GreyNoise, aliment� par l'IA, � la mi-mars et ont �t� divulgu�es r�cemment apr�s coordination avec des responsables gouvernementaux et des partenaires de l'industrie.
Sekoia.io a �galement signal� la compromission de milliers de routeurs ASUS dans le cadre de son enqu�te sur une campagne plus vaste, baptis�e ViciousTrap, dans laquelle des p�riph�riques d'autres marques ont �galement �t� compromis pour cr�er un r�seau de pot de miel. Sekoia.io a d�couvert que les routeurs ASUS n'ont pas �t� utilis�s pour cr�er des "honeypot", et que les acteurs de la menace ont obtenu un acc�s SSH en utilisant le m�me port, TCP/53282, identifi� par GreyNoise dans son rapport.
Voici un extrait du rapport de GreyNoise :
GreyNoise a identifi� une campagne d'exploitation en cours dans laquelle les attaquants ont obtenu un acc�s non autoris� et persistant � des milliers de routeurs ASUS expos�s � l'internet. Cela semble faire partie d'une op�ration furtive visant � assembler un r�seau distribu� de dispositifs � porte d�rob�e - jetant potentiellement les bases d'un futur r�seau de zombies.
Les tactiques utilis�es dans cette campagne - acc�s initial furtif, utilisation des fonctions int�gr�es du syst�me pour la persistance et �vitement minutieux de la d�tection - sont conformes � celles observ�es dans les op�rations avanc�es � long terme, y compris les activit�s associ�es aux acteurs des menaces persistantes avanc�es (APT) et aux r�seaux de bo�tes de relais op�rationnelles (ORB). Bien que GreyNoise n'ait fait aucune attribution, le niveau de savoir-faire sugg�re un adversaire bien pourvu en ressources et tr�s comp�tent.
L'acc�s de l'attaquant survit aux red�marrages et aux mises � jour du micrologiciel, ce qui lui permet de contr�ler durablement les appareils concern�s. L'attaquant conserve un acc�s � long terme sans d�poser de logiciels malveillants ni laisser de traces �videntes en encha�nant les contournements d'authentification, en exploitant une vuln�rabilit� connue et en abusant des fonctions de configuration l�gitimes.
L'activit� a �t� d�couverte par Sift - l'outil propri�taire de GreyNoise d'analyse des charges utiles du r�seau aliment� par l'IA - en combinaison avec des profils de routeurs ASUS enti�rement �mul�s fonctionnant dans la grille d'observation mondiale de GreyNoise. Ces outils nous ont permis de d�tecter des tentatives d'exploitation subtiles enfouies dans le trafic mondial et de reconstituer la s�quence d'attaque compl�te.
La campagne de portes d�rob�es cible plusieurs mod�les de routeurs ASUS, GreyNoise ayant initialement d�tect� des tentatives d'attaque contre leurs profils de micrologiciels �mul�s ASUS RT-AC3200 et RT-AC3100, tous deux avec des param�tres de configuration "pr�ts � l'emploi". L'acc�s initial est obtenu par une combinaison de for�age d'identifiants et d'exploitation de failles de contournement d'authentification, qui sont corrig�es mais n'ont pas re�u de CVE, selon GreyNoise.
Les techniques de contournement de l'authentification utilis�es comprennent l'usurpation de l'agent utilisateur ASUS � asusrouter-- � et l'utilisation d'un cookie � asus_token= � suivi d'un octet nul, ce qui peut mettre fin pr�matur�ment � l'analyse de la cha�ne pendant le processus d'authentification et conduire � un contournement de l'authentification sur les syst�mes vuln�rables, selon l'analyse technique de GreyNoise.
Sekoia.io a �galement not� l'exploitation de CVE-2021-32030 dans ses observations, une faille de contournement d'authentification affectant sp�cifiquement les appareils ASUS GT-AC2900 et Lyra Mini. une fois que l'attaquant obtient un acc�s authentifi�, il exploite les param�tres int�gr�s et les failles de s�curit� pour �tablir une connexion SSH sur TCP/53282 avec une cl� publique contr�l�e par l'attaquant pour un acc�s persistant � distance.
Sur les mod�les ASUS RT-AX55 qui n'ont pas re�u de correctif pour la vuln�rabilit� CVE-2023-39780, les attaquants exploitent cette vuln�rabilit� par injection de commande pour activer une fonctionnalit� de journalisation int�gr�e appel�e Bandwidth SQLite Logging (BWSQL). Le code utilis� par cette fonction de journalisation permet l'ex�cution de donn�es contr�l�es par l'utilisateur, �largissant ainsi la capacit� de l'attaquant � injecter des commandes malveillantes.
La configuration de la porte d�rob�e dans ces attaques est stock�e dans la m�moire vive non volatile (NVRAM) plut�t que sur le disque, ce qui la rend r�sistante � la suppression par red�marrage ou mise � jour du micrologiciel. "Si un routeur a �t� compromis avant la mise � jour, la porte d�rob�e sera toujours pr�sente � moins que l'acc�s SSH ne soit explicitement examin� et supprim�", a d�clar� GreyNoise.
GreyNoise recommande aux utilisateurs d'effectuer une r�initialisation d'usine compl�te et une reconfiguration manuelle sur tout appareil suspect� d'�tre compromis. Les utilisateurs peuvent v�rifier si leur appareil a �t� compromis en recherchant un acc�s SSH sur TCP/53282 et des entr�es non autoris�es dans le fichier authorized_keys. Les organisations doivent �galement bloquer les adresses IP malveillantes identifi�es dans les rapports de GreyNoise et de Sekoia.io et s'assurer que leurs appareils sont enti�rement mis � jour pour corriger les vuln�rabilit�s de s�curit� susceptibles d'�tre utilis�es par les attaquants.
Source : Rapport de GreyNoise
Et vous ?
Pensez-vous que ce rapport est cr�dible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Des pirates ont d�tourn� le syst�me de mise � jour logicielle d'ASUS pendant plusieurs mois pour installer une porte d�rob�e sur des milliers de PC BlackTech, des cyber-acteurs li�s � la Chine, peuvent se cacher dans le micrologiciel d'un routeur. Les �tats-Unis et le Japon publient un avis de mise en garde contre leurs activit�s Un myst�rieux logiciel malveillant d�truit en trois jours plus de 600 000 routeurs et oblige le FAI � tous les remplacer. L'attaquant a �cras� de fa�on permanente le micrologiciel des routeurs affect�s
Vous avez lu gratuitement 0 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer � vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer � vous proposer des publications.