Des milliers de routeurs MikroTik hackés pour un espionnage massif du trafic réseau

Le mois dernier, nous évoquions la large campagne qui répand des malwares pour le minage de crypto monnaies et qui avait piraté plus de 200 000 routeurs MikroTik en utilisant une vulnérabilité précédemment découverte et révélée pendant la fuite de la CIA Vault 7.

Aujourd’hui, des chercheurs en sécurité chinois de chez Qihoo 360 Netlab ont découvert que plus de 370 000 routeurs MikroTik étaient potentiellement vulnérables, et que plus de 7500 appareils avaient été compromis pour activer illicitement le proxy Socks4, permettant aux attaquants de surveiller activement le trafic réseau des appareils ciblés depuis la mi-juillet.

La vulnérabilité en question est Winbox Any Directory File Read (CVE-2018-14847) dans les routeurs MikroTik, et qui a été manifestement exploitée par l’outil de piratage Vault 7 de la CIA appelé Chimay Red, en plus d’une autre vulnérabilité d’exécution de code à distance Webfig de MikroTik.

Winbox et Webfig sont deux composants de gestion de RouteurOS avec leurs ports de communication correspondants TCP/8291, TCP/80 et TCP/8080. Winbox est conçu pour que les utilisateurs de Windows puissent facilement configurer leur routeur et il télécharge certains fichiers DLL depuis le routeur pour les exécuter sur le système.

Selon les chercheurs, plus de 370 000 des 1.2 millions de routeurs MikroTik sont toujours vulnérables à l’exploit CVE-2018-14847, même après que le vendeur ait déjà sorti des mises à jour de sécurité pour corriger la faille.

Les chercheurs de Netlab ont identifié un malware exploitant la vulnérabilité CVE-2018-14847 pour mener des activités malveillantes comme l’injection de code de minage CoinHive, en activant discrètement le proxy Socks4 sur les routeurs et en espionnant les victimes.

Injection du code de minage CoinHive : Après avoir activé le proxy HTTP de RouteurOS de MikroTik, les attaquants redirigent toutes les requêtes du proxy http à une page HTTP locale d’erreur 403 qui injecte un lien pour le code de minage web de CoinHive.

« En faisant cela, l’attaquant espère pouvoir faire du minage web pour tout le trafic proxy des appareils des utilisateurs, » expliquent les chercheurs.

« Néanmoins, ce qui limite le bénéfice des attaquants, c’est que le code de minage ne fonctionne pas de cette façon, car toutes les ressources web externes, incluant celles de coinhive.com nécessaires pour le minage web, sont bloquées par les proxy ACL installés par les attaquants eux-mêmes. »

Activation malveillante du proxy Sock4 : l’activation en secret du port Socks4 ou TCP-4153 sur l’appareil ciblé permet à l’attaquant d’obtenir le contrôle de l’appareil même après son reboot (changement d’IP) en reportant régulièrement sa dernière adresse IP à l’URL de l’attaquant.

Actuellement, selon les chercheurs, un total de 239 000 adresses IP ont vu leur proxy Socks4 activé de manière malveillante, permettant ainsi aux attaquants de continuer à analyser plus d’appareils RouteurOS de MikroTik utilisant ce proxy Socks4 compromis.

Espionner les victimes des attaquants : Puisque les appareils Routeurs OS de MikroTik autorisent les utilisateurs à capturer des packets sur le routeur et à les envoyer à un serveur Stream spécifique, les attaquants peuvent prendre possession du trafic depuis les routeurs compromis jusqu’à des adresses IP qu’ils contrôlent eux.

« A l’heure actuelle, un total de 7.5k d’IP d’appareils RouterOS de MikroTik ont été compromis par l’attaquant, et leur trafic TZSP est dirigé pour que leurs adresses IP soient récupérées », ont déclaré les chercheurs.

«  Nous avons aussi constaté que les ports SNMP 161 et 162 sont aussi en tête de liste. Cela amène certaines questions : pourquoi les attaquants s’intéressent à un protocole de gestion du réseau que les utilisateurs lambda n’utilisent que peu ? Essayent-ils de surveiller et de récupérer les chaînes de communauté SNMP réseau d’utilisateurs particuliers ? »

Les victimes se retrouvent dans différents pays du globe comme la Russie, l’Iran, le Brésil, l’Inde, l’Ukraine, le Bangladesh, l’Indonésie, l’Equateur, les USA, l’Argentine, la Colombie, la Pologne, le Kenya, l’Irak et certains pays européens et asiatiques, la Russie étant le pays le plus affecté.

Netlab n’a pas partagé publiquement les adresses IP des victimes pour des raisons évidentes de sécurité, mais a déclaré que les entités de sécurité compétentes dans les pays affectés pouvaient contacter l’entreprise pour obtenir la liste complète des adresses IP infectées.

La meilleure manière de vous protéger est de procéder aux correctifs nécessaires. Les utilisateurs de RouteurOS de MikroTik sont vivement incités à mettre à jour leurs appareils et à vérifier si les fonctions de capture du trafic réseau, du proxy Socks4 et du proxy HTTP sont exploitées de manière malveillante.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *