Les chercheurs en sécurité d'Eclypsium ont développé un outil que les administrateurs réseau peuvent utiliser pour analyser leurs réseaux (locaux, à distance ou domestiques dans le cadre du télétravail) afin de détecter les routeurs MikroTik non patchés qui ont été exploités de manière abusive ces dernières années par différents groupes cybercriminels. Société lettonne, MikroTik fabrique des équipements réseau  pour les particuliers, les entreprises et les FAI du monde entier. Il s'agit notamment de routeurs, de commutateurs et de points d'accès sans fil. Ce qui rend les appareils MikroTik particulièrement populaires, c'est la puissance de calcul et les fonctionnalités qu'ils offrent à un prix très compétitif par rapport aux équipements d'autres fournisseurs.

Les chercheurs de la société Eclypsium, spécialisée dans la sécurité des logiciels et du matériel, se sont intéressés au périmètre des équipements MikroTik exposés après que les opérateurs du célèbre botnet TrickBot aient utilisé des routeurs MikroTik compromis pour reprendre le contrôle de leur cheval de Troie. L’année dernière, Microsoft avait en effet réussi à fermer les serveurs traditionnels de commande et de contrôle du botnet. Eclypsium avait déjà effectué des recherches sur TrickBot, un cheval de Troie connu pour servir de plateforme de diffusion de logiciels malveillants, notamment pour le ransomware Ryuk, lorsque ses créateurs ont ajouté un module capable d'infecter le bios (UEFI) des ordinateurs ciblés. 

Des abus touchant les routeurs MikroTik 

Plusieurs vulnérabilités critiques ont été identifiées dans le microcode RouterOS de MikroTik au cours des dernières années. Elles permettent de compromettre des appareils à partir d'Internet ou de l'intérieur des réseaux locaux sans authentification. Certaines de ces failles ont des exploits disponibles publiquement qui ont été intégrés dans divers botnets et autres cybermenaces.

Les failles comprennent : 

CVE-2018-7445, un dépassement de mémoire tampon dans le service SMB de RouterOS (version 6.41.3 et inférieure) lors du traitement des messages de demande de session NetBIOS.

CVE-2018-14847, une faille de traversée de répertoire qui peut être exploitée via l'interface de gestion WinBox de RouterOS (version 6.42 et inférieure) sans authentification pour lire les informations d'identification et écrire des fichiers arbitraires.

CVE-2019-3978 et CVE-2019-3977 : un problème de détournement du cache DNS et une validation insuffisante de la mise à niveau du firmware qui peuvent être utilisés pour rétrograder les routeurs MikroTik vers des versions RouterOS plus anciennes et vulnérables.

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a inclus CVE-2018-14847 dans son catalogue des vulnérabilités couramment exploitées. 

Les routeurs MikroTik sont une cible populaire depuis des années pour les cybercriminels et les attaquants plus sophistiqués. La base de données d'exploits offensifs Vault 7 censés être utilisés par la CIA, qui a été publiée par Wikileaks en 2017, comprenait un exploit pour les routeurs MikroTik portant le nom de code ChimayRed. En 2018, le FBI et le DOJ ont annoncé la perturbation d'un botnet très sophistiqué appelé VPNfilter qui a infecté plus de 500 000 routeurs de plusieurs fabricants, dont MikroTik. Le botnet a été attribué à un groupe suivi par l'industrie de la sécurité sous le nom d'APT28 ou Fancy Bear, et qui serait la division de piratage du service de renseignement extérieur russe, le GRU. En janvier 2019, la plateforme d'acquisition d'exploits Zerodium, qui s'adresse aux agences gouvernementales, a offert plus de 100 000 dollars pour travailler sur des exploits de type "zero day" dans MikroTik RouterOS.

Les routeurs MikroTik compromis ont été utilisés pour injecter des scripts de cryptomining exploitant le Web dans le trafic HTTP qui les traverse et constituent le botnet Meris. Ce botnet a été utilisé pour lancer certaines des plus grandes attaques DDoS de ces dernières années, dont une qui a atteint un pic de 17,2 millions de requêtes par seconde contre un client de Cloudflare. Le botnet Meris exploite CVE-2018-14847 pour infecter les routeurs MikroTik qui utilisent des micrologiciels obsolètes, mais il existe également des preuves qu'un cheval de Troie Windows et un botnet appelé Glupteba attaquent les routeurs lettons depuis l'intérieur des réseaux locaux pour y déployer Meris. Google vient d'annoncer une opération visant à démanteler le botnet Glupteba.

Combien de routeurs MikroTik vulnérables sur le marché ?

Les chercheurs d'Eclypsium ont utilisé le moteur de recherche Shodan et ont trouvé plus de 2 millions de routeurs MikroTik dont l'une des interfaces de gestion est exposée à Internet : SSH, WinBox ou l'API HTTP. Sur la base de leurs versions de RouterOS, ils estiment qu'environ 300 000 d'entre eux sont vulnérables à une ou plusieurs des quatre vulnérabilités mentionnées précédemment. Les routeurs vulnérables sont répartis dans le monde entier, mais les plus fortes concentrations ont été observées en Chine, au Brésil, en Russie, en Italie et en Indonésie. Les États-Unis se classent en huitième position. De nombreux autres routeurs obsolètes et vulnérables dont les interfaces de gestion ne sont pas exposées au monde entier sont probablement actifs, ce qui constitue une configuration non sécurisée en soi et non le paramètre par défaut. Si ces routeurs ne peuvent pas être ciblés directement depuis l'Internet, ils peuvent néanmoins être attaqués depuis l'intérieur des réseaux locaux qu'ils desservent et le cas de Glupteba, qui dispose d'un module spécialement conçu à cet effet, est la preuve que cela arrive. 

C'est également l'une des raisons pour lesquelles Eclypsium a décidé de créer un outil open source permettant aux utilisateurs de vérifier si les routeurs MikroTik sont infectés par le botnet Meris. Le script peut détecter si l'appareil contient la vulnérabilité critique CVE-2018-14847 et si un script programmateur associé à Meris existe sur l'appareil. Les chercheurs préviennent que l'outil ne doit être utilisé que contre les équipements auxquels l'utilisateur a le droit d'accéder, car il exploite essentiellement l'exploit lui-même pour extraire les informations d'identification et effectuer les vérifications supplémentaires.

Péril en la demeure

À l'heure où de nombreux employés travaillent à domicile, la sécurité de ces réseaux domestiques et des dispositifs qui acheminent le trafic vers ces réseaux devient une préoccupation légitime. En contrôlant un routeur, les cyberpirates peuvent lancer des attaques sophistiquées et difficiles à détecter contre les utilisateurs du réseau. Le trafic contenant des informations sensibles peut être intercepté s'il n'est pas chiffré, les utilisateurs peuvent être redirigés vers des pages de phishing via le DNS, des scripts malveillants peuvent être injectés dans les sites Web visités par les utilisateurs si ces pages n'utilisent pas le protocole HTTPS, etc. 

À l'avenir, nous pourrions arriver à un point où les entreprises donneront des routeurs gérés par l'entreprise à leurs employés distants comme elles distribuent des ordinateurs portables de travail. D'ici là, les entreprises voudront peut-être s'assurer que les routeurs actuels que leurs employés ont à la maison ne présentent pas de vulnérabilités connues, expliquent les chercheurs d'Eclypsium à CSO. L'outil Eclypsium permet à une entreprise de dire : Mes employés en télétravail utilisent-ils des routeurs MikroTik vulnérables et les appareils sont-ils simplement vulnérables ou sont-ils déjà compromis ? Scott Scheferman, cyberstratège principal chez Eclypsium, explique à notre confrère CSO : "Vous pouvez avoir un appareil doté d'un micrologiciel correct et valide, mais qui a été configuré de manière malveillante. À cause de cela, vos scanners de vulnérabilité normaux ne vont pas savoir si l'appareil est déjà compromis en termes de configuration malveillante." La plupart des solutions de gestion des points d'accès permettent aux entreprises de surveiller le niveau des correctifs et la configuration de la machine d'un employé, mais lorsqu'un employé travaille à distance pendant une période prolongée, ces vérifications devraient sans doute s'étendre à la sécurité des environnements réseau à partir desquels il travaille.

Il n'y a pas que MikroTik

Les chercheurs d'Eclypsium se sont intéressés aux routeurs MikroTik parce qu'ils semblent être une cible particulière pour divers groupes d'attaquants et qu'ils sont populaires auprès des utilisateurs de bureaux à domicile et des entreprises. Ils ont toutefois souligné que des vulnérabilités sont souvent découvertes et corrigées dans les dispositifs de mise en réseau de tous les fabricants, y compris ceux des entreprises. Au cours des deux dernières années, de multiples attaques ont exploité les vulnérabilités des appliances VPN. En fait, MikroTik a généralement une bonne réponse en matière de sécurité, publiant des avis de sécurité, diffusant des correctifs et communiquant avec les utilisateurs par le biais de ses forums communautaires et de son blog. Le problème avec la plupart des appareils intégrés, y compris les appareils de mise en réseau comme les routeurs, est que les utilisateurs ne sont pas aussi enclins à mettre à jour leur micrologiciel qu'ils le sont à mettre à jour le système d'exploitation de leur ordinateur ou les logiciels qu'ils utilisent.

"Il n'y a pas de nouvelle vulnérabilité dans RouterOS et aucun logiciel malveillant ne se cache dans le système de fichiers de RouterOS, même sur les appareils concernés", écrivait MikroTik en septembre dans un avis sur le botnet Meris. "L'attaquant reconfigure les appareils RouterOS pour un accès à distance, en utilisant des commandes et des fonctionnalités de RouterOS lui-même. Malheureusement, la fermeture de l'ancienne vulnérabilité ne protège pas immédiatement ces routeurs. Si quelqu'un a obtenu votre mot de passe en 2018, une simple mise à niveau ne vous aidera pas. Vous devez également changer de mot de passe, revérifier votre pare-feu s'il n'autorise pas l'accès à distance à des parties inconnues et rechercher des scripts que vous n'avez pas créés."

"Nous avons essayé de joindre tous les utilisateurs de RouterOS à ce sujet, mais beaucoup d'entre eux n'ont jamais été en contact avec MikroTik et ne surveillent pas activement leurs équipements ", a déclaré la société. "Nous travaillons également sur d'autres solutions".