300 000 MikroTik rūteru ir drošības bumbiņas ar laika degli, apgalvo pētnieki


Ierīču īpašnieki vēl nav instalējuši 3 ļoti nopietnu ievainojamību labojumus.

Latvijā bāzētā MikroTik ražotie 300 000 maršrutētāju ir neaizsargāti pret attālinātiem uzbrukumiem, kas var slepeni iekļaut ierīces botnetos, kuri nozog sensitīvus lietotāju datus un piedalās internetu kropļojošos DDoS uzbrukumos, apgalvo pētnieki.

Drošības uzņēmuma Eclypsium pētnieki šo aplēsi veica, pamatojoties uz interneta skenēšanu, kurā tika meklētas MikroTik ierīces, kurās izmantotas programmaparatūras versijas, kas satur pēdējo trīs gadu laikā atklātās ievainojamības. Lai gan ražotājs ir izdevis labojumus, Eclypsium pētījums liecina, ka ievērojama daļa lietotāju tos vēl nav instalējuši.

"Ņemot vērā MikroTik atjaunināšanas problēmas, ir liels skaits ierīču ar šīm 2018. un 2019. gada ievainojamībām," savā paziņojumā raksta Eclypsium pētnieki. "Kopumā tas uzbrucējiem sniedz daudz iespēju iegūt pilnīgu kontroli pār ļoti jaudīgām ierīcēm, pozicionējot tos tā, lai tie varētu mērķēt gan uz ierīcēm aiz LAN pieslēgvietas, gan arī uz citām ierīcēm internetā."

Šīs bažas nebūt nav teorētiskas. Drošības uzņēmuma Kaspersky pētnieki 2018. gada sākumā paziņoja, ka spēcīga nacionālo valstu ļaunprogrammatūra Slingshot, kas nebija atklāta sešus gadus, sākotnēji izplatījās, izmantojot MikroTik maršrutētājus. Uzbrukumi lejupielādēja ļaunprātīgus failus no neaizsargātiem maršrutētājiem, ļaunprātīgi izmantojot MikroTik konfigurācijas utilītu, pazīstamu kā Winbox, kas pārsūtīja kaitīgās datnes no ierīces failu sistēmas uz savienoto datoru.

Dažus mēnešus vēlāk drošības uzņēmuma Trustwave pētnieki atklāja divas ļaunprātīgas programmatūras kampaņas pret MikroTik maršrutētājiem pēc tam, kad ar reversās inženierijas palīdzību tika atklāts CIP rīks, kas noplūdis WikiLeaks sērijā, kas pazīstama kā Vault7.

Arī 2018. gadā Ķīnas uzņēmums Netlab 360 ziņoja, ka tūkstošiem MikroTik rūteru tika ieslēgti botnetā ar ļaunprātīgu programmatūru, kas uzbrūk ievainojamībai, kura izsekojama kā CVE-2018-14847.

Eclypsium pētnieki norādīja, ka CVE-2018-14847 ir viena no vismaz trim augstas bīstamības ievainojamībām, kas viņu izsekotajās ar internetu savienotajās MikroTik ierīcēs joprojām nav labota. Kopā ar divām citām ievainojamībām, kas atrodas Winbox - CVE-2019-3977 un CVE-2019-3978 - Eclypsium atklāja 300 000 ievainojamu ierīču. Kad hakeri ir inficējuši ierīci, viņi parasti to izmanto, lai veiktu turpmākus uzbrukumus, nozagtu lietotāju datus vai piedalītos izplatītajos pakalpojuma atteikuma uzbrukumos.

Pētnieki ir publicējuši bezmaksas programmatūras rīku, ko cilvēki var izmantot, lai noteiktu, vai viņu MikroTik ierīce ir neaizsargāta vai inficēta. Uzņēmums sniedz arī citus ieteikumus ierīču bloķēšanai.

Kā vienmēr, vislabākais veids, kā aizsargāt ierīci, ir pārliecināties, ka tajā darbojas jaunākā programmaparatūra. Svarīgi ir arī nomainīt noklusējuma paroles pret spēcīgām un izslēgt attālo administrēšanu, ja vien tā nav nepieciešama.

 

Turpmāka lasāmviela:
Spēcīga ļaunprātīga programmatūra, kas sešus gadus slēpās, izplatījās ar maršrutētāju starpniecību
Vault7 hakeru rīki, par kuriem WikiLeaks apgalvo, ka to izcelsme ir no CIP