Prawie 15000 routerów Mikrotik w Polsce może być zainfekowanych

6 września 2018

To nie pierwszy tak zmasowany atak na nieaktualizowane routery Mikrotik. W przeciwieństwie do „zwykłych” urządzeń TP Link albo Asus pracujących w trzeciej warstwie modelu OSI, łotewski producent sprzętu i oprogramowania do łączności z Internetem systematycznie wydaje aktualizacje nawet dla najstarszych modeli — wiele lat temu głęboko schowanych w sieci szkieletowej operatorów i firm i w dalszym ciągu podpiętych do Internetu. I właśnie w tym problem, bo pomimo że producent nieustannie wydaje aktualizacje bezpieczeństwa, to nie wszyscy to doceniają. Dla firmy Mikrotik postarzanie produktu właściwie nie istnieje, dlatego to ludzie znowu są najsłabszym ogniwem bezpieczeństwa.

Ogólnie na świecie w sierpniu 2018 roku z 1 200 000 Mikrotików znaleziono ponad 370 000 podatnych na zdalne ataki urządzeń, z czego ponad 14 000 znajduje się w Polsce:

42376 Brazil/BR
40742 Russia/RU
22441 Indonesia/ID
21837 India/IN
19331 Iran/IR 
16543 Italy/IT 
14357 Poland/PL
14007 United States/US
12898 Thailand/TH
12720 Ukraine/UA 
11124 China/CN
10842 Spain/ES
 8758 South Africa/ZA
 8621 Czech/CZ
 6869 Argentina/AR
 6474 Colombia/CO
 6134 Cambodia/KH
 5512 Bangladesh/BD
 4857 Ecuador/EC
 4162 Hungary/HU

Atak bazujący na podatności CVE-2018-14847, czyli luce w aplikacji Winbox dla RouterOS do wersji 6.42 pozwala zdalnie ominąć uwierzytelnianie i odczytać dowolne pliki przez zmodyfikowanie żądania związanego z identyfikatorem sesji. Nie byłoby to możliwe, gdyby router odmówił dostępu ruchu przychodzącego dla portów TCP/8291, TCP/80 i TCP/8080 używanych do konfiguracji przez przeglądarkę i aplikację Winbox. Dwa exploity Chimay Red, które wypłynęły od CIA dzięki WikiLeaks na Winbox i Webfig pozwalają wspólnie zdalne uruchomić plik w podatnym urządzeniu.

Przeprowadzone doświadczenie wykazało:

  • Ponad 7500 routerów, które bezpośrednio przekazują dane klientów sieci.
  • 239 000 routerów posiada skonfigurowane proxy.
  • Serwer proxy w większości przypadków działa na porcie TCP/4135 i umożliwia dostęp zainfekowanemu routerowi do sieci przestępców 95.154.216.128/25. Adres sieci może się zmieniać. Aktualnie może to być 95.154.216.167.
  • Atakujący uzyska kontrolę nad urządzeniem nawet po ponownym uruchomieniu lub zmianie adresu IP sieci ofiary. Co jakiś czas skrypt wysyła informację o adresie IP ofiary, z kolei po stronie przestępcy aktualizowane są listy ACL.
  • Zainfekowane routery służą do dalszego skanowania sieci Internet i wyszukiwania podatnych urządzeń.

Luki w routerach Mikrotik znalezione w wyszukiwarce Shodan

Atakujący interesują się także portami 20, 21, 25, 110 i 143, czyli FTP, SMTP, POP3 i IMAP. Natomiast nie jest jasne dlaczego interesują się portami 161 i 162 (SNMP). Oto ich TOP lista:

5832 143  
5784 110  
4165 20  
2850 25  
1328 23  
1118 1500  
1095 8083  
 993 3333
 984 50001
 982 8545
 677 161
 673 162
 355 3306
 282 80
 243 8080
 237 8081
 230 8082
 168 53
 167 2048 

Administratorom rekomenduje się aktualizację aplikacji Winbox, firmware routerów, zabronienie dostępu do konfiguracji z zewnątrz przez domyślne porty, a także upewnienie się, czy urządzenie nie zawiera ustawień wprowadzonych przez atakującego.

Przy okazji warto upewnić się, czy router Mikrotik nie jest przypadkiem częścią ogromnego botnetu lub czy nie zawiera podejrzanej nazwy hosta.

Potencjalne wskaźniki infekcji:

37.1.207.114      AS50673 Serverius Holding B.V.
185.69.155.23     AS200000 Hosting Ukraine LTD
188.127.251.61    AS56694 Telecommunication Systems, LLC
5.9.183.69        AS24940 Hetzner Online GmbH
77.222.54.45      AS44112 SpaceWeb Ltd
[removed]         103.193.137.211   AS64073 Vetta Online Ltd
24.255.37.1       AS22773 Cox Communications Inc.
45.76.88.43       AS20473 Choopa, LLC
206.255.37.1      AS53508 Cablelynx
95.154.216.167    AS20860 iomart Cloud Services Limited. 

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
1 Komentarz
Inline Feedbacks
View all comments
Matszosa
Matszosa
2 lat temu

Tylko aktualizacja nic nie daje, tak samo reset. Tylko pomaga netinstall. Lidzie nie aktualizuja poniewaz w nowym sofcie prawie na pewno cos nie dziala. Jedno nalrawiaja a drugie psuja..

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone