Un nouveau botnet, dénommé Mēris, est à l’origine des récentes attaques DDoS à grande échelle et a atteint un pic de presque 22 millions de requêtes par seconde. Selon une étude de Qrator, les dispositifs réseau de MikroTik ont généré une bonne partie du trafic du botnet.
Après avoir analysé la situation, les experts de MikroTik n’ont pas détecté de nouvelles failles dans les routeurs de l’entreprise. Cependant, les anciens appareils sont toujours une menace. Ainsi, nous vous invitons à suivre ces quelques conseils pour être certain que votre routeur n’a pas rejoint le botnet Mēris (ou tout autre botnet).
Pourquoi les dispositifs de MikroTik ont rejoint le botnet
Il y a quelques années, une recherche de sécurité a découvert une vulnérabilité dans les routeurs de MikroTik : Winbox, un outil de configuration pour les routeurs MikroTik à cause duquel de nombreux appareils étaient compromis. Même si MikroTik a corrigé la vulnérabilité en 2018, il semblerait que certains utilisateurs n’ont pas mis à jour leurs routeurs.
De plus, même parmi ceux qui l’ont fait, tous n’ont pas suivi les conseils supplémentaires du fabricant quant à la modification du mot de passe. Si l’utilisateur ne change pas le mot de passe, même un micrologiciel mis à jour peut permettre aux cybercriminels d’accéder au routeur et de l’exploiter.
Selon MikroTik, les routeurs désormais infectés par Mēris sont les mêmes que ceux compromis en 2018. L’entreprise a publié des conseils et des indicateurs pour montrer à quel point le dispositif est en danger.
Comment savoir si votre routeur MikroTik fait partie d’un botnet
Lorsqu’un routeur rejoint un botnet, les cybercriminels modifient un certain nombre de paramètres dans le micrologiciel de l’appareil. Ainsi, le premier conseil de MiktroTik est de vérifier la configuration du dispositif et de prendre en compte les points suivants :
- Une règle qui exécute le script avec la méthode fetch(). Supprimez-la si elle est présente (dans Système → Planificateur) ;
- Un serveur proxy SOCKS est autorisé. Vous pouvez vérifier ce paramètre dans IP → Désactivez-le si vous ne vous en servez pas ;
- Un client L2TP nommé lvpn ou tout autre client L2TP que vous ne connaissez pas. Supprimez-les ;
- Une règle de pare-feu qui autorise l’accès à distance via le port 5678. Supprimez cette règle.
Conseils pour protéger votre routeur MikroTik
Les mises à jour régulières sont une partie importante de n’importe quelle stratégie de défense réussie. Pour protéger un réseau MikroTik il suffit simplement de suivre quelques conseils généraux de sécurité qui s’appliquent à tous les réseaux.
- Vérifiez que votre routeur utilise la dernière version disponible du micrologiciel et mettez-le régulièrement à jour ;
- Désactivez l’accès à distance au dispositif sauf si absolument nécessaire ;
- Configurez l’accès à distance, là encore uniquement si vous en avez vraiment besoin, via un canal VPN. Par exemple en utilisant le protocole IPsec ;
- Utilisez un gestionnaire de mots de passe et choisissez-en des longs et complexes. Même si votre mot de passe actuel est fort, modifiez-le, juste au cas où.
En général, partez du principe que votre réseau local n’est pas sûr, ce qui signifie que si votre ordinateur est infecté, le malware peut attaquer le routeur depuis l’intérieur de votre périmètre et obtenir l’accès et les mots de passe grâce à des attaques par force-brute. C’est pourquoi nous vous conseillons fortement d’installer des solutions de sécurité fiables sur tous les ordinateurs connectés à Internet.