Exploit Chimay Red: podatne urządzenia Mikrotik i Ubiquiti tworzą gigantyczny botnet

28 marca, 2018
Mikrotik botnet

Mikrotik i Ubiquiti to producenci bardzo popularnych na całym świecie urządzeń sieciowych. Produkty amerykańskiej (Ubiquiti) i łotewskiej (Mikrotik) firmy są rekomendowane przez setki tysięcy zadowolonych klientów na całym świecie. Administratorzy cenią je sobie za szybkie udostępnianie aktualizacji bezpieczeństwa i bardzo szeroki wachlarz konfiguracji. Z routerów Mikrotik i Ubiquiti chętnie korzystając ISP, które budują na nich sieci szkieletowe. A przecież od infrastruktury IT każdy z nas oczekuje wysokiej niezawodności, przepustowości i ciągłej dostępności. Opłacalność w kategorii całkowitych kosztów eksploatacji (ang. Total Cost of Ownership) to dodatkowy atut przemawiający za tymi urządzeniami. Dzisiejsza zła wiadomość jest taka, że wszystkie Mikrotiki z oprogramowaniem RouterOS do wersji 6.38.4 włącznie (tę wersję OS wydano w marcu 2017 roku) są podatne na zdalne zainstalowanie szkodliwego oprogramowania. Przejęte w ten sposób urządzenie może infekować kolejne. Wszystkie razem tworzą ogromny botnet, który atakuje (DDoS) kolejne usługi w Internecie, pozbawiając dostępu użytkowników do zdalnych zasobów.

Botnet z urządzeń Mikrotik i Ubiquiti

Zaobserwowane szkodliwe działania botnetu (prawdopodobnie Hajime), który skanuje Internet w poszukiwaniu urządzeń z otwartym portem TCP/8291, wymierzone są też w urządzenia Ubiquiti z oprogramowaniem AirOS lub AirMAX — potwierdzają to dostarczone informacje przez firmę Redware, która 24 marca zaobserwowała wzmożoną aktywność połączeń na porcie TCP/8291 w swojej globalnej sieci honeypotów:

Botnet z urządzeń Mikrotik i Ubiquiti

W pierwszej fazie przejmowania kontroli nad urządzeniami brzegowymi wykonywane jest „skanowanie Internetu”, które szuka potencjalnie podatnych urządzeń. Opracowany skrypt szuka adresów IP z dostępną usługą na porcie 8291. W tym celu wysyła pakiety SYN bez końcowego ACK — połączenie 3-way handshake nie wysyła jeszcze żadnego ładunku do skanowanego punktu końcowego. Jako że port 8291 jest domyślnym portem do zarządzania routerem przez aplikację Winbox, to właśnie w taki sposób zautomatyzowano wykrywanie routerów Mikrotik. Trzeba jednak założyć pewien margines błędu, że nie wszystkie publiczne adresy IP z portem 8291 są wystawione akurat przez urządzenia firmy Mikrotik.

Największą ilość „podatnych” adresów IP zlokalizowano w Brazylii, Stanach Zjednoczonych i w Iranie. Łącznie było ich ponad 10 000.

Liczba zeskanowanych urządzeń.

W drugiej fazie ataku, kiedy urządzenie jest już rozpoznane jako „Mikrotik”, za pomocą exploita Chimay Red wykorzystywana jest luka w zabezpieczeniach poprzez port 80, 81, 82, 8080, 8081, 8082, 8089, 8181 lub 8880. Kiedy robak Hajime (stąd nazwa botnetu) zostanie zainstalowany, będzie próbował rozprzestrzenić się na kolejne urządzenia, wykonując dodatkowo ataki brute-force na zabezpieczone hasłem usługi. Ale uwaga!

Zagrożenie czyha nie tylko ze strony botnetu. Dostępny jest gotowy exploit dla Metasploita korzystający z podatności opracowanych przez CIA. Teraz każdy każdego może zhackować. Tutaj znajduje się dokładny opis exploita Chimera Red na routery Mikrotik. Dokument jest jednym z wielu tajnych dokumentów opublikowanych przez WikiLeaks w ramach wycieku „Vault 7”.

Inny zespół badaczy z Netlab Qihoo 360, który jako pierwszy udostępnił dane o atakach, twierdzi, że botnet Hajime w ostatnich dniach wykonał ponad 860 000 prób skanowania portów. Wśród atakowanych celów znajduje się też prawie 600 urządzeń w Polsce:

Mapa skanowania

Na forum firmy Mikrotik już piszą o ataku. Jeden z administratorów tak opisuje atak:

Just tonight we discovered a multitude of RouterOS devices on our network — mostly customer devices, so far only observed on MIPS architecture — that appear to be infected with something. The routers themselves are generating hundreds of outbound connections every second to random IP addresses, targeting telnet (TCP port 23), TR-069 (TCP port 7547), and WINBOX!!!! (TCP 8291). I have confirmed that this traffic is not originating from a device on the customers’ LANs and then getting NATted…it is coming from the router itself and is successfully blocked using firewall rules in the „output” chain.

Nie należy lekceważyć zagrożenia. Zalecana jest pilna aktualizacja firmware do wersji wyższej niż 6.38.4, a także zmiana domyślnego portu 8291 (lub całkowite wyłączenie dostępu do konfiguracji z zewnątrz).

Przy okazji aktualizacji warto sprawdzić, czy Wasze Mikrotiki nie zawierają czasami takich nazw hosta: HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD / HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD / HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED. Jeżeli tak, to  z pewnością nie są poprawnie zabezpieczone.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]