Une attaque massive a infecté des centaines de milliers de routeurs MikroTik dans le monde entier depuis le début de la semaine. La peste a déjà touché plus de 200 000 appareils, principalement en France, et fait tourner un code JavaScript dans le navigateur de l’utilisateur pour miner Monero cryptomeda et générer de l’argent pour les envahisseurs.
Selon Bleeping Computer, l’attaque s’est concentrée en France à ses débuts, lorsqu’elle a infecté plus de 72 000 routeurs, mais s’est ensuite étendue au reste du monde. Le premier à avoir remarqué le problème, soit dit en passant, était un chercheur en sécurité français, identifié uniquement comme MalwareHunterBR.
MalwareHunterBR/status/1023893755974352896
Pour lancer l’attaque, l’envahisseur profite d’une défaillance de type “zéro jour” dans RouterOS, le système d’exploitation des équipements de MikroTik. Cette brèche a été découverte en avril et réparée en quelques heures seulement ? mais, comme d’habitude, de nombreuses personnes n’ont pas appliqué le patch de sécurité et sont restées vulnérables.
Lorsque l’attaque est réussie, une partie du trafic passant par le routeur est interceptée pour inclure un mineur de cryptomédecine ? avec cela, le code s’exécute dans le navigateur de l’utilisateur, et non dans le routeur, qui a une capacité de traitement limitée.
Et ce qui est intéressant, c’est que l’attaque fonctionne dans les deux sens. Comme l’équipement de MikroTik est également utilisé dans des environnements d’entreprise, un site hébergé sur un serveur dont le trafic passe par un routeur de marque peut se voir injecter le mineur dans ses pages, quel que soit le routeur du visiteur.
Pour ceux qui possèdent un routeur MikroTik, la recommandation est d’installer une mise à jour du RouterOS dès que possible.