AccueilActualités informatiqueDes centaines de milliers de routeurs MikroTik sont vulnérables depuis 2018

Des centaines de milliers de routeurs MikroTik sont vulnérables depuis 2018

Les routeurs fabriqués par le fabricant letton MikroTik, destinés à être utilisés à la maison ou dans les petites entreprises, constituent le gros de l’armée de zombies du réseau de zombies DDoS Mēris, responsable ces derniers mois d’attaques gigantesques contre le fournisseur de services de cloud Cloudflare et la grande société Internet russe Yandex. Cloudflare a signalé une attaque avec jusqu’à 17 millions d’accès par seconde. L’attaque contre Yandex aurait été encore plus violente.

Selon les analystes de la société de sécurité Qrator Labs, Mēris, une évolution du code du botnet DDoS open-source Mirai, se compose de jusqu’à 250 000 bots. Selon l’analyse, la plupart de ces bots sont des routeurs détournés de MikroTik. Les attaquants qui recherchent sur Internet des bots pour lancer des attaques DDoS apprécient ces routeurs car ils sont en fait toujours connectés à Internet et, contrairement à de nombreux appareils IoT, disposent d’un matériel qui fournit une puissance de traitement et une mémoire importantes. « Mēris » est letton et signifie, de manière tout à fait appropriée, « la peste ».

Sommaire

Étonnamment, les attaques actuelles semblent porter sur des routeurs détournés qui sont vulnérables en raison d’une ancienne faille de sécurité. La faille était déjà sécurisée en mars 2018 avec la version 6.42.1 du firmware des routeurs en question. En décembre 2018, on a ensuite appris que les routeurs étaient toujours détournés en masse. À l’époque, ces appareils étaient pour la plupart compromis par des criminels afin d’y miner de la crypto-monnaie à l’insu de leurs propriétaires.

Cette situation ne semble pas avoir beaucoup évolué au cours des trois dernières années, puisque MikroTik prévient à nouveau que des routeurs détournés de la société sont toujours sous le contrôle d’attaquants. Le fabricant soupçonne les attaquants d’avoir capturé les mots de passe d’accès aux appareils concernés en 2018 et de pouvoir encore y accéder car les mots de passe n’ont jamais été modifiés. Même si les routeurs étaient ensuite sécurisés par des mises à jour de sécurité, les attaquants auraient toujours accès.

MikroTik recommande aux utilisateurs de ses appareils de changer leurs mots de passe dès maintenant et d’améliorer la sécurité de ces mots de passe lorsque l’occasion se présente. En outre, toutes les mises à jour de sécurité actuelles pour les appareils doivent être installées et les utilisateurs doivent vérifier la configuration des appareils pour s’assurer que les paramètres n’ont pas été modifiés par eux-mêmes. MikroTik recommande également que l’interface web des routeurs ne soit pas accessible depuis Internet et que les appareils soient gérés uniquement depuis le réseau local. Si les appareils doivent être gérés à distance, le fabricant recommande de mettre en place un accès VPN.

Le fabricant de routeurs a découvert des chevaux de Troie qui, une fois installés sur un ordinateur Windows par un utilisateur peu méfiant, analysent le réseau local à la recherche de routeurs MikroTik afin de les détourner. Ce malware tente d’exploiter la vulnérabilité de 2018. Cependant, une fois le correctif appliqué, il semble passer à l’attaque des mots de passe faibles des administrateurs des routeurs.

MikroTik dit avoir essayé de contacter ses propres clients pour les informer du grief, mais n’a pas eu beaucoup de succès. « Beaucoup de nos clients n’ont jamais eu de contact avec MikroTik et ne se soucient pas activement de leurs appareils. » Ils travaillent actuellement sur « d’autres moyens » de résoudre le problème des routeurs zombies, dit-il. Quelles sont exactement ces possibilités, le fabricant ne le dit pas dans sa déclaration.


(fab)

Plus d'articles