CVE-2025-61481

Vulnérabilité Majeure : Accès Non Authentifié et Exécution de Code sur MikroTik

Une faille de sécurité critique, identifiée sous la référence CVE-2025-61481, impacte les versions RouterOS v7.14.2 et SwitchOS v2.18 de MikroTik. Cette vulnérabilité permet à un attaquant distant d’exécuter du code arbitraire ou d’intercepter des identifiants d’administrateur.

Le vecteur d’attaque exploite le composant de gestion WebFig, qui est activé par défaut en HTTP sans redirection automatique vers HTTPS. Pour exploiter cette faille, l’attaquant doit disposer d’un accès au réseau local (LAN ou Wi-Fi) de l’appareil ciblé. Aucune authentification n’est nécessaire pour capturer les identifiants lors de la connexion d’un administrateur.

Points Clés :

• Composant affecté : Interface de gestion WebFig.
• Comportement par défaut : HTTP activé sans redirection HTTPS automatique.
• Niveau d’accès requis : Accès réseau (LAN/Wi-Fi).
• Conséquences : Exécution de code arbitraire, interception d’identifiants, injection de configurations ou firmwares malveillants.

Vulnérabilités :

• CVE-2025-61481 : Permet l’exécution de code arbitraire et l’interception d’identifiants via WebFig (sans authentification requise pour la capture).

Recommandations :

Bien que l’article ne fournisse pas de recommandations explicites, la nature de la vulnérabilité suggère fortement les actions suivantes :

• Désactiver WebFig ou restreindre l’accès : Si possible, désactiver l’interface WebFig ou limiter son accès aux réseaux de confiance uniquement.
• Forcer l’utilisation de HTTPS : Configurer impérativement les appareils pour utiliser exclusivement HTTPS pour la gestion WebFig et désactiver l’accès HTTP.
• Mettre à jour le firmware : Appliquer les mises à jour de sécurité dès qu’elles sont disponibles pour les versions affectées de RouterOS et SwitchOS, une fois corrigées.
• Surveiller le trafic réseau : Être attentif à toute activité suspecte sur le réseau pouvant indiquer une tentative d’exploitation.

Source