Honderdduizenden MikroTik-routers zijn kwetsbaar sinds 2018


Routers van de Letse fabrikant MikroTik voor gebruik thuis of in kleine bedrijven vormen het grootste deel van het botleger van het DDoS-botnet Mēris, dat de afgelopen maanden verantwoordelijk is geweest voor gigantische aanvallen op de cloudserviceprovider Cloudflare en de Russische internetgigant Yandex . Cloudflare gemeld van een aanval met maximaal 17 miljoen hits per seconde. De aanval op Yandex zou nog gewelddadiger zijn geweest.

Volgens analisten van beveiligingsbedrijf QRor Labs Mēris, een doorontwikkeling van de open source DDoS-botnetcode van Mirai, bestaat uit maximaal 250.000 bots. Volgens de analyse zijn de meeste van deze bots gekaapte routers van MikroTik. Aanvallers die op zoek zijn naar bots voor DDoS-aanvallen op internet, waarderen routers zoals deze, omdat ze eigenlijk altijd verbonden zijn met internet en, in tegenstelling tot veel IoT-apparaten, hardware hebben die aanzienlijke rekenkracht en geheugen biedt. “Mēris” is Lets en betekent, heel toepasselijk, “de pest”.

Verrassend genoeg lijken de huidige aanvallen terug te gaan naar gekaapte routers, die kwetsbaar zijn vanwege een oude beveiligingsfout. de kloof was al in maart 2018 beveiligd met firmwareversie 6.42.1 van de betreffende router. In december 2018 werd het bekend dat routers nog steeds massaal worden gekaapt. In die tijd werden de apparaten meestal gecompromitteerd door criminelen om cryptogeld te minen zonder medeweten van de eigenaar.

Deze situatie lijkt de afgelopen drie jaar niet veel veranderd te zijn, omdat MikroTik waarschuwt er opnieuw voordat de gekaapte routers van het bedrijf nog steeds onder controle staan ​​van aanvallers. De fabrikant vermoedt dat de aanvallers in 2018 toegangswachtwoorden tot de getroffen apparaten hebben gestolen en er nog steeds toegang toe hebben omdat de wachtwoorden nooit zijn gewijzigd. Zelfs als de routers dan beveiligd waren met beveiligingsupdates, zouden de aanvallers nog steeds toegang hebben.

MikroTik raadt gebruikers van hun apparaten aan om hun wachtwoorden nu te wijzigen en de beveiliging van deze wachtwoorden te verbeteren wanneer de gelegenheid zich voordoet. Bovendien moeten alle huidige beveiligingsupdates voor de apparaten worden geïnstalleerd en moeten gebruikers de configuratie van de apparaten controleren op instellingen die ze zelf niet hebben gewijzigd. MikroTik raadt verder aan om de webinterface van de router niet toegankelijk te maken vanaf internet en alleen de apparaten te beheren vanaf het lokale netwerk. Als de apparaten op afstand moeten worden beheerd, raadt de fabrikant aan om VPN-toegang in te stellen.

De routerfabrikant heeft Trojaanse paarden ontdekt die, zodra ze door een nietsvermoedende gebruiker op een Windows-computer zijn geïnstalleerd, in het lokale netwerk naar MikroTik-routers zoeken om ze te kapen. Deze malware probeert de beveiligingsfout van 2018 te misbruiken. Als dit echter is gepatcht, lijkt het zijn toevlucht te nemen tot het kraken van zwakke beheerderswachtwoorden op de routers.

MikroTik zegt dat ze probeerden hun eigen klanten te bereiken en hen te informeren over het probleem, maar dat dit niet veel succes had. “Veel van onze klanten hebben nog nooit contact gehad met MikroTik en zorgen niet actief voor hun apparaten.” Ze werken nu aan “andere manieren” om het probleem van de zombierouter aan te pakken. Wat die mogelijkheden precies zijn, zegt de fabrikant niet in zijn communicatie.


(geweldig)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: