Útok infikuje MikroTik routery, následne PC ťažia kryptomenu

Značky: bezpečnosťrouterykryptomeny

DSL.sk, 3.8.2018

Bezpečnostní experti identifikovali v uplynulých dňoch pomerne rozsiahly útok na routery značky MikroTik, ktoré sú používané často pokročilými používateľmi, firmami a poskytovateľmi pripojenia a ktoré zrejme ovplyvnili veľké množstvo užívateľov.

Útok detekovala, analyzovala a popísala bezpečnostná spoločnosť Trustwave.

Podľa jej zistení je realizovaný cez zraniteľnosť v službe Winbox, službe počúvajúcej na porte 8291 a určenej pre vzdialenú konfiguráciu MikroTik routerov. Zraniteľnosť umožňuje získať súbor s informáciami o účtoch a následne sa dostať na zariadenie, identifikovaná bola v apríli.

MikroTik patrí k výrobcom routerov, ktorí na rozdiel od viacerých výrobcov WiFi routerov pre domácich užívateľov dbajú na bezpečnosť, a aktualizácia bola k dispozícii promptne do jedného dňa. Množstvo zariadení je ale evidentne neaktualizovaných.

Útok respektíve útočníci následne uskutočňujú na napadnutom MikroTik routeri zmeny, po ktorých v čase analýzy spoločnosťou Trustwave do vracaných webových chybových stránok router vkladal skript pre ťaženie kryptomeny Monero pomocou služby CoinHive. Prehliadače užívateľov za takýmto routerom tak následne po zobrazení týchto stránok začnú zaťažovať CPU počítača a využívať ich na ťaženie kryptomeny.

Útok vkladanie dosahuje cez chybovú stránku proxy servera, ktorý na napadnutých zariadeniach aktivuje a zrejme posiela cez neho transparentne všetku webovú prevádzku.

Pôvodne router podľa expertov na základe sťažností užívateľov zrejme vkladal skript do všetkých stránok. Hypotézou expertov je, že od tohto správania upustil keďže bolo príliš nápadné.

Celkovo bolo podľa informácií Trustwave zo stredy infikovaných viac ako 170 tisíc routerov. Keďže tieto sú často používané vo firmách a poskytovateľmi pripojenia, ovplyvnených bolo a je zrejme výrazne viac užívateľov. Navyše za týmito routermi sú niekedy web servery, na ktoré pristupujú ľubovoľní užívatelia z Internetu, a stránky na týchto serveroch sú rovnako modifikované.

Riešením pre užívateľov je udržiavať svoj MikroTik router a jeho RouterOS systém aktualizovaný. Pre routery MikroTik je k dispozícii aj operačný systém OpenWrt, ktorý tento týždeň vyšiel v novej hlavnej verzii 18.06. OpenWrt má vďaka vydávaniu aktualizácií bezpečnostné prednosti oproti firmvéru mnohých domácich WiFi routerov so slabou úrovňou bezpečnosti, MikroTik je ale v inej pozícii ako takéto routery.




Najnovšie články:



Diskusia:

Mikrotik Od reg.: shapira | Pridané: 3.8.2018 11:22 Uz od aprila aktualizovane.. Ale od kedy bolo par stranok na kt.bol coinhive, tak na kazdom mikrotiku nasadeny script pre block coinhive... Cez layer7 Nasledna navsteva danej stranky na ktorej je coinhive script vykazuje 0% zataze.. Ziadne tazenie sa nekonaaaa Odpovedať Známka: 2.5 Hodnotiť:

Re: Mikrotik Od: Macko_Usko | Pridané: 7.8.2018 12:09 Hladal som v nastaveniach , no nenasiel som taku moznost, aby bolo mozne zadat len 3 alebo 5x zle heslo a zablokuje pristup. Ma vobec nejaky router take nastavenie ? Odpovedať Hodnotiť:

updating Od reg.: JamesSVK | Pridané: 3.8.2018 11:24 kto neupdatuje nic dobreho si nezasluzi Odpovedať Známka: 0.0 Hodnotiť:

Re: updating Od: monopol | Pridané: 3.8.2018 11:39 Ale keď mi to išlo dobre na starej verzii :( Odpovedať Známka: 10.0 Hodnotiť:

Re: updating Od: 33jkl33 | Pridané: 3.8.2018 15:17 Áno. Treba updatovať. Hlavne drony od DJI... :D Odpovedať Známka: 8.7 Hodnotiť:

Re: updating Od: sensei-san | Pridané: 4.8.2018 14:43 ^ Našiel som niekoho, kto nebeží W10. Odpovedať Hodnotiť:

...... Od: [Jooky] | Pridané: 3.8.2018 11:42 Administrator, ktory necha winbox pusteny do internetu, by si zasluzil poriadne po prstoch ... ... ja spravujem cca 17 mikrotikov a prvu vec co vzdy spravim pri instalacii, je vypnutie vsetkeho okrem ssh/https. Nasledne potom ide admin rozhranie do mgmt vlany. Jedna vec je chyba v samotnom winboxe a druha ak moze utocnik skusat "prihlasovat sa". Ziadny software nie je 100%, ale mikrotik je jeden z tych produktov, o ktory ked sa admin nalezite stara, tak prinasa poriadu pridanu hodnotu, za nie tak velku cenu. Odpovedať Známka: 5.4 Hodnotiť:

Re: ...... Od: Snake... | Pridané: 3.8.2018 11:51 Ja mam tiez Winboxy pustene do netu akurat je tam firewallom urcene ktory subnet sa moze pripojit (MGMT), a je tam uplne iny port, SSH mam vypnute. Odpovedať Známka: 10.0 Hodnotiť:

Re: ...... Od: [Jooky] | Pridané: 3.8.2018 12:17 tak potom to do internetu "pustenie" nie je ... samozrejme som myslel konfiguraciu, ked sa vie prihlasit ktokolvek odkialkolvek. Veci, ktore z nejakeho dovodu musia byt dostupne z vonku (ssh na server), mam tiez zalimitovane na rozhsahy, odkial sa bezne pripajam. Osobne si myslim, ze to je najucinnejsia ochrana ... Odpovedať Známka: 10.0 Hodnotiť:

Re: ...... Od reg.: K-NinetyNine | Pridané: 3.8.2018 18:13 Nikto s IQ hojdacieho koníka to nemá otvorené do sveta. Ale stačí, aby sa ti do siete dostalo jedno hacknuté zariadenie a môže z vnútra ďalej realizovať útok. Odpovedať Hodnotiť:

Re: ...... Od: arch_bastard | Pridané: 5.8.2018 11:50 wtf, hovoris ze mikrotik routre maju defaultne spustene nejake remote access and ine sluzby? Odpovedať Známka: 3.3 Hodnotiť:

zahadny liecitel Od: beee | Pridané: 3.8.2018 12:17 na mojom tiku, co nemam z lan strany nic a len loguje aktivity z wan (honeypot) mam cez FW zaplatene porty nejakym dobrodincom, co zanechal odkaz, ze sa mu da podakovat cez WebMoney, alebo BTC a po infekcii asi len 2 nepodstatne stopy. Odpovedať Známka: -3.3 Hodnotiť:

OPORUCANE Od: xdxdxdxd | Pridané: 3.8.2018 15:43 neodporucal niekto pri teme OpenWrt prave tieto mikroInfikovaneTiky xD Odpovedať Známka: -10.0 Hodnotiť:

Re: OPORUCANE Od reg.: K-NinetyNine | Pridané: 3.8.2018 18:15 Tieto mikroinfikovaneTiky maju zranitelnost, ktora sa v clanku spomina, uz od Aprila opravenu. S neaktualizovanym SW je zranitelne vsetko. Odpovedať Známka: 1.4 Hodnotiť:

Re: OPORUCANE Od: Marioooo | Pridané: 4.8.2018 9:19 Áno, napríklad aj ja Odpovedať Hodnotiť:

Re: OPORUCANE Od: ASD45 | Pridané: 6.8.2018 8:23 ach jo ak si ktokoľvek myslí že nainštaluje openwrt a nebude aj ten updatovať a je v bezpečí tak sa sakramentský mýli 100% bezpečný softvér ,firmware neexistuje je však rozhodujúce ako rýchlo vychádzajú update v tomto smere je mikrotik na špici a keby všetky firmy boli ako mikrotik je to super napr iPhone nerobí bezpečným len ios ale hlavne rýchla oprava bezpečnostných chýb ako tu už viacerý písalí uvedená zraniteľnosť je opravená od apríla čiže pre všetkých aj tých to čo majú openwrt platí že treba systém updatovať Odpovedať Hodnotiť:

poznamka Od: _____ | Pridané: 3.8.2018 16:56 uBlock Origin a nejaky anti miner script :) Odpovedať Známka: 0.0 Hodnotiť:

ip adresa Od: robo 123 | Pridané: 3.8.2018 18:54 ako dlho musí prevádzkvoateľ stránky uchovaváť informácie o mojej ip adrese. Odpovedať Známka: -3.3 Hodnotiť:

Re: ip adresa Od: odpoved | Pridané: 3.8.2018 19:57 nie Odpovedať Známka: 6.4 Hodnotiť:

Pridať komentár