Getty Images
Pas moins de 300 000 routeurs fabriqués par MikroTik, basé en Lettonie, sont vulnérables aux attaques à distance qui peuvent subrepticement enfermer les appareils dans des botnets qui volent des données utilisateur sensibles et participent à des attaques DDoS paralysant Internet, ont déclaré des chercheurs.
L’estimation, faite par des chercheurs de la société de sécurité Eclypsium, est basée sur des analyses à l’échelle d’Internet qui ont recherché des appareils MikroTik à l’aide de versions de micrologiciel connues pour contenir des vulnérabilités découvertes au cours des trois dernières années. Alors que le fabricant a publié des correctifs, la recherche Eclypsium montre qu’une proportion importante d’utilisateurs ne les a pas encore installés.
« Compte tenu des défis de la mise à jour de MikroTik, il existe un grand nombre d’appareils avec ces vulnérabilités 2018 et 2019 », chercheurs Eclypsium a écrit dans un message. « Collectivement, cela donne aux attaquants de nombreuses opportunités pour obtenir un contrôle total sur des appareils très puissants, les positionnant pour pouvoir cibler les appareils à la fois derrière le port LAN et cibler d’autres appareils sur Internet.
Adopté par les script kiddies et les États-nations
L’inquiétude est loin d’être théorique. Début 2018, des chercheurs de la société de sécurité Kaspersky ont déclaré qu’un puissant logiciel malveillant d’État-nation appelé Slingshot, qui n’avait pas été détecté pendant six ans, initialement diffusé via MikroTik routeurs. Les attaques ont téléchargé des fichiers malveillants à partir de routeurs vulnérables en abusant d’un utilitaire de configuration MikroTik connu sous le nom de Winbox, qui a transféré les charges utiles du système de fichiers de l’appareil vers un ordinateur connecté.
Quelques mois plus tard, des chercheurs de la société de sécurité Trustwave ont découvert deux campagnes de malware contre les routeurs MikroTik après la rétro-ingénierie d’un outil de la CIA divulgué dans un Série WikiLeaks connue sous le nom de Vault7.
Toujours en 2018, le chinois Netlab 360 signalé que des milliers de routeurs MikroTik avaient été entraînés dans un botnet par un malware attaquant une vulnérabilité identifiée comme CVE-2018-14847.
Les chercheurs d’Eclypsium ont déclaré que CVE-2018-14847 est l’une des au moins trois vulnérabilités de haute gravité qui n’ont toujours pas été corrigées dans les appareils MikroTik connectés à Internet qu’ils ont suivis. Combiné avec deux autres vulnérabilités situées dans Winbox—CVE-2019-3977 et CVE-2019-3978— Eclypsium a trouvé 300 000 appareils vulnérables. Une fois que les pirates ont infecté un appareil, ils l’utilisent généralement pour lancer d’autres attaques, voler des données utilisateur ou participer à des attaques par déni de service distribué.
Les chercheurs ont publié un outil logiciel gratuit que les gens peuvent utiliser pour détecter si leur appareil MikroTik est vulnérable ou infecté. La société fournit également d’autres suggestions pour verrouiller les appareils. Comme toujours, la meilleure façon de sécuriser un appareil est de s’assurer qu’il exécute le dernier firmware. Il est également important de remplacer les mots de passe par défaut par des mots de passe forts et de désactiver l’administration à distance, sauf si cela est nécessaire.
Source link
