Environ 300 000 appareils MikroTik vulnérables aux intrusions de pirates

par ·

  • Français


    • Les acteurs de la menace s’attaquent souvent aux appareils vulnérables pour pénétrer dans les réseaux ciblés. La plupart des employés travaillant à distance, les cybercriminels ont multiplié les tentatives de piratage ciblant les appareils IoT commerciaux vulnérables comme les routeurs Wi-Fi. Récemment, un rapport de recherche sur la sécurité d’Eclypsium a révélé que plus de 300 000 adresses IP liées aux appareils MikroTik étaient exposées à des vulnérabilités de sécurité exploitables à distance.

    « Ces appareils sont à la fois puissants, [and] souvent très vulnérable. Cela a fait des appareils MikroTik un favori parmi les acteurs de la menace qui ont réquisitionné les appareils pour tout, des attaques DDoS, commande et contrôle (C2), tunnel de trafic, et plus encore. Un attaquant pourrait utiliser des techniques et des outils bien connus pour potentiellement capturer des informations sensibles, telles que le vol des informations d’identification MFA d’un utilisateur distant à l’aide de SMS via Wi-Fi. Comme pour les attaques précédentes, le trafic de l’entreprise pourrait être canalisé vers un autre emplacement ou du contenu malveillant injecté dans un trafic valide », ont ajouté les chercheurs », indique le rapport.

    Basé en Europe, MikroTik est un fournisseur populaire de routeurs, de systèmes ISP sans fil, de matériel et de logiciels pour la connectivité Internet dans le monde entier.

    Vulnérabilités dans les appareils MikroTik

    Les routeurs MikroTik sont une cible attrayante car plus de deux millions d’appareils sont déployés dans le monde, devenant une opportunité lucrative pour les attaquants. Selon le rapport, les appareils MikroTik les plus touchés se trouvent en Russie, en Chine, au Brésil, en Indonésie, en Italie, en Indonésie et aux États-Unis.

    Lire aussi : BotenaGo – Un nouveau logiciel malveillant ciblant des millions d’appareils IoT

    Les failles des appareils MikroTik pourraient exposer les utilisateurs et les entreprises à une grande variété de risques de sécurité. Ils peuvent permettre l’accès à distance aux pirates pour exploiter et pénétrer le réseau. Les failles de sécurité découvertes incluent :

    • CVE-2019-3977– MikroTik RouterOS validation insuffisante de l’origine du package de mise à niveau, permettant une réinitialisation de tous les noms d’utilisateur et mots de passe
    • CVE-2019-3978– MikroTik RouterOS protections insuffisantes d’une ressource critique, entraînant un empoisonnement du cache
    • CVE-2018-14847– Vulnérabilité de traversée de répertoire MikroTik RouterOS dans l’interface WinBox
    • CVE-2018-7445– Vulnérabilité de dépassement de mémoire tampon MikroTik RouterOS SMB

    En outre, les chercheurs ont découvert 20 000 appareils MikroTik exposés qui injectaient des scripts d’extraction de crypto-monnaie dans les pages Web que les utilisateurs visitaient. La capacité des routeurs compromis à injecter du contenu malveillant, à créer un tunnel, à copier ou à rediriger le trafic peut être utilisée de diverses manières très dommageables. L’empoisonnement du DNS pourrait rediriger la connexion d’un travailleur à distance vers un site Web malveillant ou introduire une machine au milieu », ont ajouté les chercheurs.

    Comment protéger les appareils MikroTik contre l’exploitation

    MikroTik a répertorié des mesures pour sécuriser les appareils. Celles-ci incluent :

    • Gardez votre appareil MikroTik à jour avec des mises à jour régulières.
    • N’ouvrez pas l’accès à votre appareil depuis le site Internet à tout le monde. Si vous avez besoin d’un accès à distance, ouvrez uniquement un service VPN sécurisé, comme IPsec.
    • Utilisez un mot de passe fort, et même si vous le faites, changez-le maintenant !
    • Ne présumez pas que votre réseau local est digne de confiance. Les logiciels malveillants peuvent tenter de se connecter à votre routeur si vous avez un mot de passe faible ou aucun mot de passe.
    • Inspectez votre configuration RouterOS pour les paramètres inconnus, notamment :
      • Système -> Règles du planificateur qui exécutent un script Fetch. Supprimez-les.
      • IP -> Proxy chaussettes. Si vous n’utilisez pas cette fonctionnalité ou ne savez pas ce qu’elle fait, elle doit être désactivée.
      • Client L2TP nommé « lvpn » ou tout client L2TP que vous ne reconnaissez pas.
      • Règle de pare-feu d’entrée qui autorise l’accès au port 5678.
    • Bloquez les domaines et les points de terminaison de tunnel associés au botnet Meris.

    Source

    Étiquettes :

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *