Les assaillants ont exploité une vulnérabilité pour accéder aux routeurs. Ils en ont fait un botnet.
Des chercheurs en sécurité ont découvert un botnet à grande échelle d’au moins 9.000 routeurs Asus. Selon GreyNoise, il s’agit d’une attaque « d’un acteur bien financé et hautement technologique », probablement d’origine étatique.
Infection permanente
Les assaillants exploitent une vulnérabilité de type « command injection » pour accéder aux routeurs, rapporte PCWorld. Des modèles populaires tels que le RT-AC3100, RT-AC3200 et RT-AX55 sont affectés. Une fois infectés, les routeurs restent compromis, même après redémarrage ou mise à jour du firmware, car les paramètres malveillants sont stockés dans une mémoire non volatile.
La restauration nécessite un retour aux paramètres d’usine
La seule façon de supprimer l’infection est de réinitialiser le routeur aux paramètres d’usine. La simple mise à jour du firmware n’est pas suffisante car le logiciel malveillant survit à cette intervention. Les utilisateurs doivent réinitialiser complètement leur routeur et le reconfigurer manuellement.
Correctif disponible depuis le 27 mai
Asus a publié une mise à jour du firmware qui empêche de nouvelles infections. Il est recommandé à ceux qui ne sont pas encore affectés d’installer le correctif du 27 mai 2025 ou ultérieur dès que possible. Ceux qui sont déjà infectés doivent donc à la fois installer la mise à jour et effectuer une réinitialisation.
Les acteurs malveillants entrent via le port TCP/53282 et via des adresses IP spécifiques. Maintenant que ces informations sont rendues publiques, les assaillants peuvent passer à d’autres moyens. Une action proactive est donc nécessaire.