Salut la team CISCOTEK IT ! Ici on parle d’une nouvelle vulnérabilité critique qui touche RouterOS : la CVE-2025-10948.
Beaucoup de gens en parlent, mais très peu comprennent réellement ce qui se passe. Donc je vais tout vous expliquer : comment fonctionne la faille, qui est concerné, et surtout comment vous protéger immédiatement. C’est parti !
De quelle vulnérabilité parle-t-on ?
Cette faille, nommée CVE-2025-10948, touche RouterOS version 7.
Elle se trouve dans la librairie libjson.so, précisément dans la fonction parse_json_element.
Cette fonction est utilisée lorsqu’un routeur traite des données reçues via l’endpoint REST /rest/ip/address/print.
En termes simples :
👉🏽 si un attaquant envoie une requête JSON mal conçue à votre routeur,
👉🏽 cela provoque un buffer overflow, c’est-à-dire un dépassement de mémoire,
👉🏽 ce qui peut entraîner un crash du service, ou dans le pire des cas une prise de contrôle du routeur.
Quels routeurs sont concernés ?
Tous les appareils tournant sous :
RouterOS 7.18
✔️ 7.19
✔️ 7.20
✔️ 7.20rc versions
❌ Pas les versions 6.x
✔️ Et surtout si l’API REST ou HTTP est accessible depuis Internet.*
Note importante : cette faille ne peut pas être exploitée via Winbox.
Est-ce que la vulnérabilité est exploitée dans la nature ?
À ce jour, aucune exploitation massive n’a été confirmée publiquement.
Il existe un Proof-of-Concept, ce qui veut dire que techniquement l’exploit est possible.
Mais pour être exploité, il faut que :
L’API REST soit accessible depuis Internet
Le firewall MikroTik soit mal configuré
La version du routeur soit vulnérable
Donc oui, le risque est réel… mais seulement pour les mauvaises configurations.
Conséquences lorsque vous êtes piraté ?
- l’accès à Mikhmon impossible
- Impossible de gérer votre routeur car compte compte d’accès sera complètement limité à la lecture uniquement.
- Impossible de créer de nouveaux compte ou ticket.
- Dans certains cas impossible de se connecter sur Winbox.
Que faire si vous êtes déjà vitime de l’attaque ?
Si vous disposez d'un compte secour outre que le compte admin, vous pouvez l'utiser pour dégager l'attaquant. Dans le cas contraire vous serez obliger de faire un hard reset du Mikrotik et refaire votre configuration.
Comment vous protéger ? (Solutions officielles MikroTik)
Voici ce que vous devez faire :
1️⃣ Mettre à jour immédiatement votre RouterOS vers la dernière version.
C corrigé la faille dans :
✔️ RouterOS 7.20.1
✔️ 7.21 beta 2
Pour mettre à jour : 👉🏽👉🏽👉🏽👉🏽
Winbox → System → Packages → Check for updates → Download & Install
2️⃣ Bloquer ou changer le port d’accès à l’API et aux ports Web depuis Internet.
C’est le port utilisé par l’application Mikhmon donc à ne pas désacter mais vous pouvez changer le port.
3️⃣ Limiter les services d’administration à un réseau de gestion.
En tant qu’administrateur réseau vous devez séparer le reseau de gestion du reseau local principale.
4️⃣ Utiliser un sytème d’accès distant basé sur le sd-wan pour l’accès externe.
Pour sécuriser l’accès à distance de votre routeur Mikrotik gratuitement sans abonnement, vous pouvez utiliser le système décrite dans notre formation : 👉🏽👉🏽👉🏽👉🏽
Système d’accès distant Gratuit Mikrotik-PC-Serveur-Phone-Antennes .
5️⃣Vérifier si vos routeurs comportent des services inutiles : les désactiver.
Conclusion
Voilà ! Vous avez maintenant une compréhension complète de la nouvelle vulnérabilité MikroTik et des solutions officielles pour sécuriser vos réseaux.
Si vous utilisez MikroTik dans votre entreprise ou si vous formez des professionnels comme moi, n’oubliez pas : la sécurité, ce n’est pas optionnel.
Abonnez-vous, laissez un like, et partagez la vidéo à tous les admins réseau autour de vous. À très bientôt pour une nouvelle formation Ciscotek IT !
