{"id":7383,"date":"2025-06-02T12:51:06","date_gmt":"2025-06-02T10:51:06","guid":{"rendered":"https:\/\/www.lrob.fr\/?p=7383"},"modified":"2025-06-02T12:51:06","modified_gmt":"2025-06-02T10:51:06","slug":"une-faille-critique-sur-les-routeurs-asus-des-milliers-de-dispositifs-compromis-dans-une-campagne-furtive","status":"publish","type":"post","link":"https:\/\/portail.lrob.fr\/en\/securite\/une-faille-critique-sur-les-routeurs-asus-des-milliers-de-dispositifs-compromis-dans-une-campagne-furtive\/","title":{"rendered":"Une faille critique sur les routeurs ASUS : des milliers de dispositifs compromis dans une campagne furtive"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Depuis mars 2025, une campagne de piratage tr\u00e8s discr\u00e8te vise les routeurs ASUS expos\u00e9s sur Internet. L\u2019entreprise de cybers\u00e9curit\u00e9 <strong>GreyNoise<\/strong> a r\u00e9cemment r\u00e9v\u00e9l\u00e9 que des milliers de ces appareils avaient \u00e9t\u00e9 infect\u00e9s sans laisser de traces visibles. Le niveau de sophistication des attaques laisse penser \u00e0 un groupe tr\u00e8s exp\u00e9riment\u00e9, voire \u00e9tatique. Le but semble \u00eatre classique : constituer un <strong>botnet<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\ud83d\udee1\ufe0f En mati\u00e8re de sites internet, n&rsquo;oubliez pas l\u2019importance d\u2019h\u00e9berger vos services web chez un <a href=\"https:\/\/portail.lrob.fr\/en\/hebergement-web\/\"><strong>h\u00e9bergeur s\u00e9curis\u00e9<\/strong>, comme LRob<\/a>, qui prot\u00e8ge vos donn\u00e9es bien au-del\u00e0 de l\u2019infrastructure de base.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Sommaire<\/h2><nav><ul><li><a href=\"\/en\/#en-resume-ce-quil-faut-savoir\">En r\u00e9sum\u00e9 : ce qu\u2019il faut savoir<\/a><\/li><li><a href=\"\/en\/#1-comment-les-pirates-ont-pris-le-controle\">1. Comment les pirates ont pris le contr\u00f4le<\/a><\/li><li><a href=\"\/en\/#2-un-acces-durable-et-silencieux\">2. Un acc\u00e8s durable et silencieux<\/a><\/li><li><a href=\"\/en\/#3-une-campagne-concue-pour-passer-inapercue\">3. Une campagne con\u00e7ue pour passer inaper\u00e7ue<\/a><\/li><li><a href=\"\/en\/#4-que-faire-si-vous-utilisez-un-routeur-asus\">4. Que faire si vous utilisez un routeur ASUS ?<\/a><\/li><li><a href=\"\/en\/#5-asus-a-t-il-corrige-la-faille\">5. ASUS a-t-il corrig\u00e9 la faille ?<\/a><\/li><li><a href=\"\/en\/#un-rappel-important-sur-la-securite-des-infrastructures\">Un rappel important sur la s\u00e9curit\u00e9 des infrastructures<\/a><\/li><li><a href=\"\/en\/#pour-aller-plus-loin\">Sources<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"en-resume-ce-quil-faut-savoir\">En r\u00e9sum\u00e9 : ce qu\u2019il faut savoir<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Pr\u00e8s de <strong>9 000 routeurs ASUS<\/strong> sont aujourd\u2019hui compromis.<\/li>\n\n\n\n<li>L\u2019attaque permet un <strong>acc\u00e8s persistant<\/strong>, m\u00eame apr\u00e8s red\u00e9marrage ou mise \u00e0 jour du firmware.<\/li>\n\n\n\n<li>Aucun malware n\u2019est utilis\u00e9 : les fonctions officielles des routeurs sont d\u00e9tourn\u00e9es.<\/li>\n\n\n\n<li>L\u2019objectif : constituer un <strong>botnet, ou r\u00e9seau fant\u00f4me<\/strong> de machines sous contr\u00f4le, potentiellement pour de futures attaques.<\/li>\n\n\n\n<li>Les failles utilis\u00e9es combinent <strong>brute-force<\/strong>, <strong>bypass d\u2019authentification<\/strong> et <strong>injection de commandes<\/strong>.<\/li>\n\n\n\n<li>ASUS a publi\u00e9 un <strong>correctif partiel<\/strong>, mais les routeurs d\u00e9j\u00e0 compromis restent vuln\u00e9rables.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"1-comment-les-pirates-ont-pris-le-controle\">1. Comment les pirates ont pris le contr\u00f4le<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Les chercheurs de GreyNoise ont identifi\u00e9 plusieurs m\u00e9thodes utilis\u00e9es pour obtenir un acc\u00e8s initial aux routeurs :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Tentatives de connexion par force brute<\/strong>, utilisant des identifiants simples ou par d\u00e9faut.<\/li>\n\n\n\n<li><strong>Deux failles d\u2019authentification<\/strong> non document\u00e9es (pas de CVE).<\/li>\n\n\n\n<li>Exploitation d\u2019une faille connue : <strong>CVE-2023-39780<\/strong>, qui permet l\u2019ex\u00e9cution de commandes syst\u00e8me sur le routeur.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"2-un-acces-durable-et-silencieux\">2. Un acc\u00e8s durable et silencieux<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Une fois \u00e0 l\u2019int\u00e9rieur, les pirates ne laissent <strong>aucun programme malveillant<\/strong>. Ils activent l\u2019acc\u00e8s <strong>SSH<\/strong> sur un port inhabituel (<code>TCP\/53282<\/code>), puis ins\u00e8rent leur propre <strong>cl\u00e9 publique SSH<\/strong>, ce qui leur donne un acc\u00e8s distant illimit\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ces modifications sont enregistr\u00e9es dans la <strong>m\u00e9moire non volatile (NVRAM)<\/strong> du routeur \u2014 elles <strong>survivent aux red\u00e9marrages et mises \u00e0 jour firmware<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le but probable des pirates : constituer un <strong>botnet<\/strong> de routeurs, c&rsquo;est \u00e0 dire un ensemble de p\u00e9riph\u00e9riques disponibles pour mener diverses attaques ult\u00e9rieures.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"3-une-campagne-concue-pour-passer-inapercue\">3. Une campagne con\u00e7ue pour passer inaper\u00e7ue<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L\u2019une des forces de cette op\u00e9ration est sa <strong>discr\u00e9tion extr\u00eame<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les <strong>journaux syst\u00e8me sont d\u00e9sactiv\u00e9s<\/strong>, emp\u00eachant toute trace locale.<\/li>\n\n\n\n<li>Les modifications passent par les <strong>interfaces officielles ASUS<\/strong>, ce qui les rend encore plus difficiles \u00e0 d\u00e9tecter.<\/li>\n\n\n\n<li>Seulement <strong>30 requ\u00eates suspectes<\/strong> d\u00e9tect\u00e9es en 3 mois par GreyNoise.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"4-que-faire-si-vous-utilisez-un-routeur-asus\">4. Que faire si vous utilisez un routeur ASUS ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">GreyNoise recommande plusieurs actions imm\u00e9diates :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>V\u00e9rifiez la pr\u00e9sence d\u2019un acc\u00e8s SSH<\/strong> sur le port <code>53282<\/code>.<\/li>\n\n\n\n<li><strong>Examinez les cl\u00e9s SSH autoris\u00e9es<\/strong> sur votre routeur (fichier <code>authorized_keys<\/code>).<\/li>\n\n\n\n<li><strong>Bloquez les adresses IP<\/strong> suivantes :\n<ul class=\"wp-block-list\">\n<li><code>101.99.91.151<\/code><\/li>\n\n\n\n<li><code>101.99.94.173<\/code><\/li>\n\n\n\n<li><code>79.141.163.179<\/code><\/li>\n\n\n\n<li><code>111.90.146.237<\/code><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>En cas de doute : <strong>r\u00e9initialisez le routeur aux param\u00e8tres d\u2019usine<\/strong>, puis reconfigurez-le manuellement.<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-asus-a-t-il-corrige-la-faille\">5. ASUS a-t-il corrig\u00e9 la faille ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, <strong>ASUS a publi\u00e9 une mise \u00e0 jour de firmware<\/strong> pour corriger CVE-2023-39780 ainsi que d&rsquo;autres failles non r\u00e9pertori\u00e9es. Cependant, <strong>les appareils d\u00e9j\u00e0 compromis restent vuln\u00e9rables<\/strong> si la configuration malveillante SSH n\u2019est pas supprim\u00e9e manuellement.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"un-rappel-important-sur-la-securite-des-infrastructures\">Un rappel important sur la s\u00e9curit\u00e9 des infrastructures<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Cette attaque montre \u00e0 quel point les appareils connect\u00e9s peuvent devenir des <strong>portes d\u2019entr\u00e9e invisibles<\/strong> pour des campagnes de piratage \u00e0 grande \u00e9chelle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Chez <strong><a class=\"\" href=\"https:\/\/portail.lrob.fr\/en\/caracteristiques\/hebergeur-web-securise-cybersecurite\/\">LRob, h\u00e9bergeur web haute s\u00e9curit\u00e9<\/a><\/strong>, nous partons du principe que la s\u00e9curit\u00e9 ne doit jamais \u00eatre une option. Nos infrastructures sont surveill\u00e9es 24\/7, segment\u00e9es, durcies, et nos clients b\u00e9n\u00e9ficient de couches de d\u00e9fense multiples pour <strong>\u00e9viter ce type de compromission<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pour-aller-plus-loin\">Sources<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Analyse compl\u00e8te sur le site de GreyNoise :<br><a class=\"\" href=\"https:\/\/www.greynoise.io\/blog\/stealthy-backdoor-campaign-affecting-asus-routers\" target=\"_blank\" rel=\"noopener\">https:\/\/www.greynoise.io\/blog\/stealthy-backdoor-campaign-affecting-asus-routers<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c9tude technique GreyNoise :<br><a href=\"https:\/\/www.labs.greynoise.io\/grimoire\/2025-03-28-ayysshush\/\" target=\"_blank\" rel=\"noopener\">https:\/\/www.labs.greynoise.io\/grimoire\/2025-03-28-ayysshush\/<\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Depuis mars 2025, une campagne de piratage tr\u00e8s discr\u00e8te vise les routeurs ASUS expos\u00e9s sur Internet. L\u2019entreprise de cybers\u00e9curit\u00e9 GreyNoise a r\u00e9cemment r\u00e9v\u00e9l\u00e9 que des milliers de ces appareils avaient \u00e9t\u00e9 infect\u00e9s sans laisser de traces visibles. Le niveau de sophistication des attaques laisse penser \u00e0 un groupe tr\u00e8s exp\u00e9riment\u00e9, voire \u00e9tatique. Le but semble [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":7384,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[45],"tags":[],"class_list":["post-7383","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/posts\/7383","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/comments?post=7383"}],"version-history":[{"count":0,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/posts\/7383\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/media\/7384"}],"wp:attachment":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/media?parent=7383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/categories?post=7383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/tags?post=7383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}