300 000 маршрутизаторов MikroTik являются бомбами замедленного действия, говорят исследователи
Владельцы устройств до сих пор не установили исправления для 3 уязвимостей высокой степени опасности.
До 300 000 маршрутизаторов, произведенных латвийской компанией MikroTik, уязвимы к удаленным атакам, которые могут скрытно загнать устройства в бот-сети, крадущие конфиденциальные данные пользователей и участвующие в разрушительных DDoS-атаках, сообщили исследователи.
Оценка, сделанная исследователями из компании Eclypsium, основана на результатах сканирования всего Интернета в поисках устройств MikroTik, использующих версии прошивки, содержащие уязвимости, которые были обнаружены за последние три года. Хотя производитель выпустил исправления, исследование Eclypsium показывает, что значительная часть пользователей еще не установила их.
"Учитывая сложности с обновлением MikroTik, существует большое количество устройств с этими уязвимостями 2018 и 2019 годов", - пишут исследователи Eclypsium в своем сообщении. "В совокупности это дает злоумышленникам множество возможностей для получения полного контроля над очень мощными устройствами, что позволяет им нацеливаться на устройства как за портом LAN, так и на другие устройства в Интернете."
Опасения далеко не теоретические. В начале 2018 года исследователи из охранной фирмы Касперского заявили, что мощная вредоносная программа под названием Slingshot, которая оставалась необнаруженной в течение шести лет, изначально распространялась через маршрутизаторы MikroTik. Атаки загружали вредоносные файлы с уязвимых маршрутизаторов, используя утилиту настройки MikroTik, известную как Winbox, которая переносила полезную нагрузку из файловой системы устройства на подключенный компьютер.
Несколько месяцев спустя исследователи из охранной компании Trustwave обнаружили две кампании вредоносного ПО против маршрутизаторов MikroTik после реинжиниринга инструмента ЦРУ, просочившегося в серию публикаций WikiLeaks под названием Vault7.
Также в 2018 году китайская компания Netlab 360 сообщила, что тысячи маршрутизаторов MikroTik были охвачены ботнетом с помощью вредоносного ПО, атакующего уязвимость, отслеживаемую как CVE-2018-14847.
Исследователи Eclypsium заявили, что CVE-2018-14847 является одной из как минимум трех уязвимостей высокой степени серьезности, которые остаются непропатченными в подключенных к Интернету устройствах MikroTik, которые они отследили. В сочетании с двумя другими уязвимостями в Winbox - CVE-2019-3977 и CVE-2019-3978 - Eclypsium обнаружил 300 000 уязвимых устройств. Как только хакеры заражают устройство, они обычно используют его для дальнейших атак, кражи пользовательских данных или участия в распределенных атаках типа "отказ в обслуживании".
Исследователи выпустили бесплатный программный инструмент, с помощью которого люди могут определить, является ли их устройство MikroTik уязвимым или зараженным. Компания также предоставляет другие рекомендации по блокировке устройств.
Как всегда, лучший способ защитить устройство - это убедиться, что на нем установлена последняя версия прошивки. Также важно заменить пароли по умолчанию на надежные и отключить удаленное администрирование, если в этом нет необходимости.
Читать далее
Мощная вредоносная программа, скрывавшаяся в течение шести лет, распространялась через маршрутизаторы.
Инструменты для взлома Vault7, которые, по словам WikiLeaks, были получены от ЦРУ.