Prawie 15000 routerów Mikrotik w Polsce może być zainfekowanych

6 września, 2018
Mikroti

To nie pierwszy tak zmasowany atak na nieaktualizowane routery Mikrotik. W przeciwieństwie do „zwykłych” urządzeń TP Link albo Asus pracujących w trzeciej warstwie modelu OSI, łotewski producent sprzętu i oprogramowania do łączności z Internetem systematycznie wydaje aktualizacje nawet dla najstarszych modeli — wiele lat temu głęboko schowanych w sieci szkieletowej operatorów i firm i w dalszym ciągu podpiętych do Internetu. I właśnie w tym problem, bo pomimo że producent nieustannie wydaje aktualizacje bezpieczeństwa, to nie wszyscy to doceniają. Dla firmy Mikrotik postarzanie produktu właściwie nie istnieje, dlatego to ludzie znowu są najsłabszym ogniwem bezpieczeństwa.

Ogólnie na świecie w sierpniu 2018 roku z 1 200 000 Mikrotików znaleziono ponad 370 000 podatnych na zdalne ataki urządzeń, z czego ponad 14 000 znajduje się w Polsce:

42376 Brazil/BR
40742 Russia/RU
22441 Indonesia/ID
21837 India/IN
19331 Iran/IR 
16543 Italy/IT 
14357 Poland/PL
14007 United States/US
12898 Thailand/TH
12720 Ukraine/UA 
11124 China/CN
10842 Spain/ES
 8758 South Africa/ZA
 8621 Czech/CZ
 6869 Argentina/AR
 6474 Colombia/CO
 6134 Cambodia/KH
 5512 Bangladesh/BD
 4857 Ecuador/EC
 4162 Hungary/HU

Atak bazujący na podatności CVE-2018-14847, czyli luce w aplikacji Winbox dla RouterOS do wersji 6.42 pozwala zdalnie ominąć uwierzytelnianie i odczytać dowolne pliki przez zmodyfikowanie żądania związanego z identyfikatorem sesji. Nie byłoby to możliwe, gdyby router odmówił dostępu ruchu przychodzącego dla portów TCP/8291, TCP/80 i TCP/8080 używanych do konfiguracji przez przeglądarkę i aplikację Winbox. Dwa exploity Chimay Red, które wypłynęły od CIA dzięki WikiLeaks na Winbox i Webfig pozwalają wspólnie zdalne uruchomić plik w podatnym urządzeniu.

Przeprowadzone doświadczenie wykazało:

  • Ponad 7500 routerów, które bezpośrednio przekazują dane klientów sieci.
  • 239 000 routerów posiada skonfigurowane proxy.
  • Serwer proxy w większości przypadków działa na porcie TCP/4135 i umożliwia dostęp zainfekowanemu routerowi do sieci przestępców 95.154.216.128/25. Adres sieci może się zmieniać. Aktualnie może to być 95.154.216.167.
  • Atakujący uzyska kontrolę nad urządzeniem nawet po ponownym uruchomieniu lub zmianie adresu IP sieci ofiary. Co jakiś czas skrypt wysyła informację o adresie IP ofiary, z kolei po stronie przestępcy aktualizowane są listy ACL.
  • Zainfekowane routery służą do dalszego skanowania sieci Internet i wyszukiwania podatnych urządzeń.

Luki w routerach Mikrotik znalezione w wyszukiwarce Shodan

Atakujący interesują się także portami 20, 21, 25, 110 i 143, czyli FTP, SMTP, POP3 i IMAP. Natomiast nie jest jasne dlaczego interesują się portami 161 i 162 (SNMP). Oto ich TOP lista:

5832 143  
5784 110  
4165 20  
2850 25  
1328 23  
1118 1500  
1095 8083  
 993 3333
 984 50001
 982 8545
 677 161
 673 162
 355 3306
 282 80
 243 8080
 237 8081
 230 8082
 168 53
 167 2048 

Administratorom rekomenduje się aktualizację aplikacji Winbox, firmware routerów, zabronienie dostępu do konfiguracji z zewnątrz przez domyślne porty, a także upewnienie się, czy urządzenie nie zawiera ustawień wprowadzonych przez atakującego.

Przy okazji warto upewnić się, czy router Mikrotik nie jest przypadkiem częścią ogromnego botnetu lub czy nie zawiera podejrzanej nazwy hosta.

Potencjalne wskaźniki infekcji:

37.1.207.114      AS50673 Serverius Holding B.V.
185.69.155.23     AS200000 Hosting Ukraine LTD
188.127.251.61    AS56694 Telecommunication Systems, LLC
5.9.183.69        AS24940 Hetzner Online GmbH
77.222.54.45      AS44112 SpaceWeb Ltd
[removed]         103.193.137.211   AS64073 Vetta Online Ltd
24.255.37.1       AS22773 Cox Communications Inc.
45.76.88.43       AS20473 Choopa, LLC
206.255.37.1      AS53508 Cablelynx
95.154.216.167    AS20860 iomart Cloud Services Limited. 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]