Comment sécuriser les routeurs ASUS contre les attaques du botnet KadNap

Commencez par mettre à jour le firmware de votre routeur, car c'est votre principale défense contre KadNap et d'autres logiciels malveillants. Le botnet exploite des vulnérabilités connues que les mises à jour de firmware corrigent souvent.

Connectez-vous à l'interface web de votre routeur en naviguant vers http://192.168.1.1 ou http://router.asus.com dans votre navigateur. Utilisez vos identifiants administrateur (par défaut, c'est souvent admin/admin, mais changez cela immédiatement si vous utilisez encore les valeurs par défaut).

Allez dans Administration > Mise à jour du firmware. Cliquez sur Vérifier pour voir si des mises à jour sont disponibles. Si aucune mise à jour automatique n'est trouvée, téléchargez manuellement le dernier firmware :

# Visitez https://www.asus.com/support/
# Recherchez le modèle exact de votre routeur (par exemple, RT-AX88U)
# Téléchargez le dernier fichier de firmware (.trx ou .bin)

Téléchargez le fichier de firmware via l'interface web et cliquez sur Télécharger. Le routeur redémarrera automatiquement après l'installation.

Vérification : Après le redémarrage, vérifiez Administration > Système pour confirmer que la nouvelle version du firmware est installée. La version doit être de 2025 ou plus récente pour inclure les derniers correctifs de sécurité.

KadNap exploite souvent des services d'accès à distance comme SSH, Telnet et AiCloud. Désactivez-les sauf si absolument nécessaire pour vos opérations réseau.

Dans l'interface web du routeur, allez à Administration > Système > Configuration d'accès local :

SSH : Désactivé
Telnet : Désactivé
Activer l'accès Web depuis le WAN : Non

Ensuite, allez à WAN > Serveur virtuel / Redirection de port et supprimez ou désactivez toutes les règles pour :

• Port 22 (SSH)
• Port 23 (Telnet)
• Port 80/443 (HTTP/HTTPS) sauf si nécessaire pour des services spécifiques

Désactivez les services AiCloud sous Disque Cloud > AiCloud 2.0 :

Activer le disque Cloud : Désactivé
Accès intelligent : Désactivé

Vérification : Utilisez un scanner de ports en ligne comme nmap depuis un réseau externe pour confirmer que les ports 22, 23 et 80 sont fermés : nmap -p 22,23,80,443 [votre-ip-publique]

Changez les identifiants par défaut et mettez en œuvre des contrôles d'accès sécurisés pour empêcher l'accès non autorisé au routeur.

Accédez à Administration > Système et mettez à jour ce qui suit :

Nom de connexion du routeur : [nom-utilisateur-unique]
Nouveau mot de passe : [mot-de-passe-complexe-de-20+-caractères]
Retaper le mot de passe : [même-mot-de-passe]

Activez l'accès uniquement HTTPS sous Administration > Système > Config Accès Local :

Activer l'accès Web depuis WAN : Non
HTTPS LAN uniquement : Oui
Port LAN HTTP : 80 (changer pour un non-standard comme 8080)
Port LAN HTTPS : 443 (changer pour un non-standard comme 8443)

Configurez les restrictions d'accès en allant à Administration > Système > Config Connexion :

Délai d'expiration de la connexion : 300 secondes
Tentatives de connexion max : 3
Durée de verrouillage : 600 secondes

Vérification : Déconnectez-vous et tentez d'accéder au routeur en utilisant les nouveaux identifiants et l'URL HTTPS (par exemple, https://192.168.1.1:8443). Confirmez que l'accès HTTP est bloqué.

Implémentez la segmentation du réseau pour limiter l'impact si un appareil est compromis. Cela empêche le mouvement latéral au sein de votre réseau.

Créez un réseau invité séparé sous Sans fil > Réseau invité :

Activer le réseau invité (2,4 GHz) : Oui
Nom du réseau (SSID) : Réseau-Invité
Niveau de sécurité : WPA2-Personnel
Mot de passe : [mot-de-passe-invité-fort]
Accès à l'intranet : Non
Limiteur de bande passante : Activer (limiter à 50 % de la bande passante totale)

Pour l'isolation des appareils IoT, accédez à QoS adaptatif > QoS adaptatif > Mode jeu et activez la priorisation des appareils :

QoS adaptatif : Activer
Mode jeu : Activer
Moniteur de bande passante : Activer

Configurez les paramètres VLAN sous LAN > VLAN si votre routeur le prend en charge :

VLAN ID 10 : Appareils IoT (192.168.10.0/24)
VLAN ID 20 : Réseau invité (192.168.20.0/24)
VLAN ID 30 : Appareils de travail (192.168.30.0/24)

Vérification : Connectez un appareil au réseau invité et confirmez qu'il ne peut pas accéder aux appareils du réseau principal en essayant de pinguer l'adresse IP de votre ordinateur principal.

Configurez le pare-feu du routeur pour bloquer le trafic malveillant et empêcher la communication des botnets. KadNap utilise des plages IP et des protocoles spécifiques que nous pouvons bloquer.

Accédez à Firewall > General et activez toutes les fonctionnalités de protection :

Activer le pare-feu : Oui
Activer la protection DoS : Oui
Répondre à la demande PING depuis le WAN : Non
Activer le pare-feu IPv6 : Oui

Bloquez les serveurs de commande et de contrôle KadNap connus sous Firewall > Network Services Filter :

Mode de filtrage : Liste noire
IP bloquée : 212.104.141.140
IP bloquée : 185.220.101.0/24
IP bloquée : 198.98.51.0/24

Configurez le filtrage d'URL sous Firewall > URL Filter :

Activer le filtre URL : Oui
Mode de filtre URL : Liste noire
Mots-clés bloqués : .onion, proxy, socks, kad, doppelganger

Configurez la détection d'intrusion sous AiProtection > Network Protection :

Blocage des sites malveillants : Activer
Protection contre les vulnérabilités : Activer
Prévention et blocage des appareils infectés : Activer
IPS bidirectionnel : Activer

Vérification : Vérifiez les journaux du pare-feu sous System Log > Firewall Log pour confirmer que les connexions bloquées sont enregistrées.

Configurez la surveillance pour détecter les signes d'infection KadNap, y compris les tâches cron suspectes, le trafic proxy et les fichiers malveillants.

Activez la journalisation détaillée sous Administration > Système > Journal :

Niveau de journal : Avis
Activer Syslog : Oui
Serveur Syslog : [votre-ip-serveur-journal] (optionnel)
Journaliser localement : Oui

Si SSH est temporairement nécessaire pour l'enquête, activez-le en toute sécurité sous Administration > Système, puis connectez-vous et vérifiez les indicateurs d'infection :

# Vérifiez les processus suspects
ps aux | grep -E 'kad|aic|proxy'

# Recherchez les tâches cron malveillantes (KadNap s'exécute toutes les 55 minutes)
crontab -l

# Vérifiez les fichiers suspects
ls -la /tmp | grep -E 'kad|aic|asusrouter'
ls -la /var | grep -E 'kad|aic|asusrouter'

# Vérifiez les connexions réseau
netstat -tulpn | grep -E ':1080|:8080|:3128'

# Recherchez les scripts suspects
find / -name "*.sh" -exec grep -l "kad\|aic\|proxy" {} \;

Surveillez les modèles de trafic sous QoS Adaptatif > Analyseur de Trafic :

• Recherchez un trafic UDP sortant inhabituel
• Vérifiez les connexions à des plages d'IP suspectes
• Surveillez les modèles de trafic de type proxy (nombre élevé de connexions)

Vérification : Exécutez les commandes ci-dessus et confirmez qu'aucun processus, fichier ou tâche cron lié à KadNap n'est présent. Les systèmes propres ne devraient renvoyer aucun résultat pour ces recherches.

Établissez un calendrier de maintenance de routine pour garder votre routeur sécurisé contre les menaces évolutives comme KadNap.

Configurez les mises à jour automatiques du firmware sous Administration > Mise à niveau du firmware :

Mise à niveau automatique : Activer
Heure de mise à niveau : 03:00 (pendant les heures de faible utilisation)
Fréquence de mise à niveau : Vérification hebdomadaire

Configurez les redémarrages automatiques sous Administration > Système > Planification des redémarrages :

Activer la planification des redémarrages : Oui
Heure de redémarrage : 02:00
Fréquence de redémarrage : Hebdomadaire (dimanche)

Créez une liste de contrôle de sécurité à effectuer mensuellement :

# Commandes d'audit de sécurité mensuel
# 1. Vérifier la version du firmware
cat /proc/version

# 2. Examiner les connexions actives
netstat -tulpn | head -20

# 3. Vérifier les journaux système pour les anomalies
tail -100 /var/log/messages | grep -i error

# 4. Vérifier les règles du pare-feu
iptables -L -n

# 5. Vérifier les utilisateurs non autorisés
who
last | head -10

Documentez la configuration de votre routeur en sauvegardant les paramètres sous Administration > Restaurer/Sauvegarder/Télécharger les paramètres :

Sauvegarder les paramètres : Télécharger les paramètres actuels
Nom du fichier : sauvegarde-config-routeur-[date].cfg

Vérification : Confirmez que les mises à jour automatiques fonctionnent en vérifiant le journal système pour les tentatives de mise à jour. Vérifiez la planification des redémarrages en notant le temps de fonctionnement du routeur avant et après les redémarrages programmés.

Si vous découvrez des indicateurs d'infection KadNap, effectuez une réinitialisation complète d'usine et reconstruisez votre configuration à partir de zéro. C'est le seul moyen fiable d'éliminer le malware.

Avant de réinitialiser, documentez vos paramètres réseau actuels :

# Documenter la configuration actuelle
# Notez : noms SSID, redirections de port, réservations DHCP, etc.
# Prenez des captures d'écran des pages de configuration importantes

Effectuez la réinitialisation d'usine via l'interface web sous Administration > Restaurer/Sauvegarder/Télécharger les paramètres :

Initialiser tous les paramètres : Paramètres d'usine par défaut
Confirmer : Oui

Alternativement, utilisez le bouton de réinitialisation physique :

1. Allumez le routeur
2. Maintenez le bouton de réinitialisation pendant 10-15 secondes tout en étant allumé
3. Relâchez et attendez que le routeur redémarre complètement (2-3 minutes)

Après la réinitialisation d'usine, sécurisez immédiatement le routeur :

1. Changez les identifiants administrateur par défaut
2. Mettez à jour le firmware à la dernière version
3. Désactivez les services inutiles
4. Reconfigurez les paramètres réseau à partir de zéro (ne restaurez pas les sauvegardes)

Vérification : Après la réinitialisation et la reconfiguration, exécutez les commandes de détection d'infection de l'étape 6 pour confirmer que le système est propre. Tous les indicateurs précédents devraient être absents.