Une fois à l’intérieur en tant qu’administrateur, les attaquants exploitent un défaut d’injection de commande pour tromper la fonction de sécurité alimentée en AI en commandes d’exécution de persistance.
Un botnet nouvellement découvert cible les routeurs ASUS – modélise spécifiquement RT-AC3100 et RT-AC3200 – pour détourner et réutiliser une fonction de sécurité intégrée et alimentée par AI.
La campagne, détectée par Greynoise en mars 2025, utilise une approche à plusieurs étapes pour compromettre les appareils et établir un accès persistant non autorisé.
« Nous observons une vague en cours d’exploitation ciblant les routeurs ASUS, combinant des méthodes d’attaque anciennes et nouvelles », ont déclaré des chercheurs de Greynoise dans un article de blog. «Après une vague initiale d’attaques génériques à force brute, ciblant« Login.cgi », nous observons des tentatives ultérieures exploitant des vulnérabilités de contournement d’authentification plus anciennes.»
Greynoise a déclaré que son outil AI interne, SIFT, a signalé un trafic suspect visant à désactiver et à exploiter une fonctionnalité de sécurité alimentée par tendance, Aiprotection, activée par défaut sur les routeurs ASUS.
Trojanisant le filet de sécurité
L’aiprotection d’ASUS, développée avec TrendMicro, est une suite de sécurité intégrée de qualité entreprise pour ses routeurs, offrant une détection de menaces en temps réel, un blocage des logiciels malveillants et une prévention des intrusions à l’aide de l’intelligence basée sur le cloud.
Après avoir obtenu un accès administratif sur les routeurs, soit par des vulnérabilités de contournement d’authentification connues de «Login.cgi» – une interface d’administration basée sur le Web, les attaquants exploitent un défaut d’injection de commande authentifié (CVE-2023-39780) pour créer un fichier vide à / TMP / BWSQL_LOG.
Cela active la fonction de journalisation BWDPI (Bidirectional Web Data Packet Inspection), un composant de la suite Aiprotection d’ASUS visant à inspecter le trafic entrant et sortant. Avec la journalisation activée, les attaquants peuvent alimenter les charges utiles (malveillantes) dans le trafic du routeur, car BWDPI n’est pas destiné à gérer les données arbitraires.
Dans ce cas particulier, les attaquants l’utilisent pour activer SSH sur un port non standard et ajouter leurs propres clés, créant une porte dérobée furtive. « Parce que cette clé est ajoutée en utilisant les fonctionnalités officielles de l’ASUS, ce changement de configuration est persisté entre les mises à niveau du micrologiciel », a déclaré les chercheurs de Greynoise. «Si vous avez été exploité précédemment, la mise à niveau de votre firmware ne supprimera pas la porte dérobée SSH.»
Bien que Greynoise n’ait pas spécifié un CVE particulier utilisé comme contournement d’authentification pour l’accès initial, ASUS a récemment reconnu une vulnérabilité de contournement d’authentification critique, suivie en tant que CVE-2025-2492, affectant les routeurs avec la fonction AICLoud activés.
La surveillance de l’accès SSH est la seule protection
La mise à niveau du firmware ne garantit pas la protection, les administrateurs sont recommandés pour continuer à vérifier l’accès SSH non autorisé, en particulier sur le port TCP 53282, que le botnet utilise pour la télécommande persistante.
De plus, la vérification du système de fichiers pour le fichier A / TMP / BWSQL_LOG peut aider à détecter l’abus des attaquants de la fonction de journalisation. La modification des informations d’identification de connexion par défaut peut également s’avérer efficace, car les attaques à force brute font partie de la méthode d’infection initiale. Greynoise a partagé une liste d’indicateurs (CIO) pour définir la détection, y compris les IPS, les noms de fichiers malveillants et les clés SSH-RSA.
