Vérifiez vos routeurs ASUS

Madcow · Mai 30, 2025, 5:46

Bonjour,

Comme je sais que certains ici ont des routeurs ASUS, je relais une information sur une attaque en cours qui ouvre une backdoor persistante.

Vérifiez votre configuration SSH pour savoir si vous êtes touchés.
Et mettez à jour votre firmware si vous n’êtes pas touchés. Sinon c’est réinitialisation usine obligatoire.

Henri · Mai 30, 2025, 6:11

Bonjour,
Juste en complément
Mettre à jour le firmware permet (normalement…) de ne pas être infecté dans…. Le futur…

Si vous l’êtes déjà :
Seule un reset total / qui efface toute les mémoires est efficace !
Ce qui est une mauvaise nouvelle pour ceux ayant passé du temps a personnaliser la config / adresse ip en Manuel sur adresse Mac

DanielJ · Mai 30, 2025, 7:00

Bonjour,

@Madcow, merci pour le partage. J’avais bien noté cette info mais je ne l’avais pas encore vraiment lue.

Je pense qu’il suffit de réinjecter une sauvegarde des paramètres (faite au préalable de préférence) après une réinitialisation complète (si c’est bien ce que fait un restore to factory default qui est la seule commande de réinitialisation…).
En effet, je n’ai pas lu dans cette brève que ce code était présent aussi dans les sauvegardes effectuées (enfin, il faut l’espérer…).
Enfin, mon routeur lui n’est (à priori) pas touché, ouf…

Fabrice · Mai 30, 2025, 7:04

Bonjour

Moi, je pense le contraire, surtout pas !

En parlant de faille grand public…

lperenna · Mai 30, 2025, 7:21

Je ne prendrai meme pas le risque !

MaGoo · Mai 30, 2025, 8:34

Comme tout système de ce type:
Si la sauvegarde est binaire, ne surtout pas la réinjecter, du code malicieux peut être intégré.
Si, comme assez souvent, la sauvegarde est textuelle « en clair (xml, json) », il faut la contrôler ligne par ligne, mais, à part d’éventuelles connexions sur des url distantes, il n’y a pas de code exécutable ou alors, il se voit facilement. Là, il est alors possible de réinjecter la sauvegarde.

DanielJ · Mai 31, 2025, 7:48

Bonjour,

Ok, je raye donc le terme ‹ de préférence ›, pour ne parler de réinjecter qu’une sauvegarde des paramètres effectuée AVANT la détection de l’infection, en s’étant assuré autant que faire se peut de l’avoir fait sur un système sain…

C’est le cas, les sauvegardes des paramètres sur mon routeur RT-AX58U sont effectuées sous un format binaire (illisibles directement donc), d’une taille de 80 Ko à peu près.
Il est en effet difficile donc d’y détecter du code malveillant s’il est programmé pour s’y cacher, je ne dis pas le contraire…

La seule solution dans ce cas, sans une sauvegarde sûre, serait donc de tout reprendre à la main après avoir fait une réinitialisation d’usine le routeur…
Si tant est que cette réinitialisation effectue bien également une RAZ complète de toute la mémoire flash, mais il semble bien d’après ce que j’ai pu voir que ce ne soit pas le cas .
La présence confirmée de cette saleté obligerait donc à carrément changer de routeur !!!

Fabrice · Mai 31, 2025, 7:52

Bonjour Daniel,

Si, le reset d’usine est OK avec un nouveau firmware (cela écrase toute la configuration).

Ce problème est en fait connu depuis 2023, donc pour avoir une sauvegarde saine… ce n’est pas gagné. Je pense que si vous avez un mot de passe fort, vous êtes épargné. Et (visiblement) il est facile de voir si vous êtes infecté, il suffit de voir le port de redirection pour SSH.

bonne journée.

DanielJ · Mai 31, 2025, 9:19

Merci Fabrice pour ces précisions.

En effet, c’est le cas, comme pour tout équipement sensible physique ou virtuel. Les bases de la cybersécurité en somme !

MaGoo · Mai 31, 2025, 10:57

Apparemment, ça a l’air assez sérieux.
Après, à vérifier ce type d’info…

Mips · Mai 31, 2025, 3:45

Oui, on en parle même ici:

SWR · Juin 1, 2025, 6:43

Pour ceux qui se demandent comment verifier

enter your router's IP address into your address bar, then log in with your Asus router username and password. Asus says if this is the first time you've logged into the router, you'll need to set up your account.

From here, identify the "Enable SSD" settings option. (You may find this under "Service" or "Administration," according to PCMag.) You'll know the router is compromised if you see that someone can log in via SSH over port 53828 with the following key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ (the rest of the key has been cut for length).


Now, disable the SSH entry and block these IP addresses:

101.99.91.151

101.99.94.173

79.141.163.179

111.90.146.237

From here, factory reset your router.

MadjestiK · Juin 1, 2025, 9:28

Bonjour à tous. Merci pour votre signalement.
Sur mon AX86-S je n’ai pas de problème ouf. Parcontre je tourne sous un custom firmware ASUSWRT-Merlin.
Je ne sais pas si cela peut avoir joué un rôle ou non. Voici le changelog de la dernière version dispo (28 avril 2025) pour mon routeur.
J’utilise un autre routeur Asus en Noeud-Mesh idem sous Merlin. Cela m’a fortement été conseillé pour renforcer la sécurité par toujours pertinente du fabricant.

Changelog-NG.txt (104,7 Ko)

Asuswrt-Merlin Changelog
========================

3004.388.9_2 (28-Apr-2025)
  - UPDATED: miniupnpd to 2.3.8.
  - FIXED: CVE-2025-2492 in AiCloud (backport from upstream)
  - FIXED: Networkmap system status frame failing to load when
           accessing the router with some particular hostnames.
  - FIXED: Networkmap client list wordwrapping long hostnames.
  - FIXED: webui issue when DDNS set to Custom.
  - FIXED: Compatibility issues with IoT devices and WPA2/WPA3
           networks (Asus)