La faille de sécurité dans les routeurs de MikroTik, qui a déjà provoqué l’extraction de milliers d’équipements de cryptomédecine, continue de générer des problèmes : plus de 7 500 personnes sont interceptées, le trafic réseau étant redirigé vers des IP contrôlées par des étrangers.
Le patch de sécurité a été publié par MikroTik en avril, mais tout le monde ne l’a pas installé. La France est le pays qui compte le plus grand nombre de routeurs vulnérables (42 376), suivie de la Russie (40 742) et de l’Indonésie (22 441), selon le 360Netlab. Cette attaque spécifique de détournement de trafic affecte au moins 615 routeurs ici.
L’attaque consiste à contourner le système d’authentification du routeur et à modifier les paramètres du paquet. Les données sont ensuite redirigées vers un IP spécifique contrôlé par un inconnu. De là, l’auteur peut surveiller le trafic de la victime et saisir des informations sensibles.
Tout le trafic n’est pas détourné : curieusement, l’attaque se concentre sur l’interception de paquets sur des ports tels que 21 (FTP), 25 (SMTP), 110 (POP3) et 143 (IMAP), qui sont utilisés pour transférer des fichiers et des courriels (et peu utilisés par les utilisateurs réguliers). En d’autres termes, c’est quelque chose de bien ciblé ? peut-être pour obtenir des données confidentielles de la part de fournisseurs et d’entreprises clientes, par exemple.
Outre le détournement de trafic, des milliers de routeurs MikroTik continuent d’être utilisés pour l’extraction de cryptomachines et permettent un accès illimité aux outils de gestion via une IP britannique suspecte. La solution consiste à vérifier que les paramètres du proxy sont corrects et à mettre à jour le système d’exploitation RouterOS.