Bleeping Computer vēsta, ka kiberdrošības pētnieki ir atklājušu masīvu kripto uzbrukumu (cryptojacking), kas skar vairāk nekā 200 000 MikroTik maršrutētājus. Uzbrukuma gaitā notiek ielaušanās maršrutētājos ar nolūku izmainīt to programmatūru. Pēc tam šīs tīkla ierīces ar “uzlaboto” programmatūru daļā lietotāju tīmekļa trafika injicē Coinhive kriptovalūtas rakšanas skriptu un tādējādi uzbrukuma autors pelna naudu no upuru datoru jaudas.
Uzbrukums sācies šonedēļ Brazīlijā, taču vēlākās fāzēs tas sāk izplatīties arī citviet pasaulē. Uzbrukuma pamatā ir nulltās dienas ievainojamība Winbox komponentē, kas tika atklāta jau šī gada aprīlī. Toreiz to MikroTik salaboja nepilnas dienas laikā, bet šmuces apmērs tikai parāda to, ka gala ierīču lietotāji īpaši neaizraujas ar programmatūras atjaunošanu.
Šis konkrētais kripto uzbrukums ir veiksmīgs, jo uzbrucējam nav bijis vajadzīgs kompromitēt atsevišķas tīmekļa vietnes. Realizējot uzbrukumu uz maršrutētājiem, kriptovalūtas rakšana automātiski notiek uz simtiem tūkstošu lietotāju datoriem bez jebkādas to līdzdalības un izmaiņām lietotāju apmeklētajās tīmekļa vietnēs.
Ko darīt?
Apskaties vai tavā pārvaldībā esošā MikroTik ierīce nedarbojas ar RouterOS v6.29 – v6.43rc3. Ja redzi šādu versiju, mudīgi atjauno to uz aktuālo RouterOS versiju un pēc tam iestati ugunsmūra noteikumus, kas liedz Windows un citiem portiem pieslēgties no “svešām” IP adresēm. Kad tas izdarīts, nomaini pieejas paroles.
Ko par šo problēmu saka MikroTik?
Par šo ievainojamību MikroTik raksta savā forumā un arī nesen aizsāktajā drošības tēmām veltītajā blogā. Ja par konkrēto problēmu rodas kādi jautājumi, tos vislabāk risināt šajās vietnēs.
Atļaut brīvu pieeju WinBox portam no jebkuras IP adreses uz publisko interfeisu jebkurā gadījumā nav prātīgi.
Tas nav kaut kāds noklusējuma iestatījums, ka automātiski tik daudz ierīču ir kritušas par upuri neģēļa rokās?
Nu defaultā ports ir vaļā uz visiem interfeisiem/IP…kamēr nav veiktas darbības Firewallā. Bet nu atstāt uz WAN interfeisa vaļā to ir 0_0
Nesen tieši bakstīju mikrotiku, kuram bija svaigākie updeiti un tur bija ciet.
Tur pie vainas ir konfigurācija.Ja viss ir atstāts kā ”default”,tad vēl nu tā,iztikt var,bet pārsvarā konfigurācijas ir nepilnīgas, atvērti neizmanotie porti,paroles utt.. Ko tas nozīmē? Lietotajs ir nopircis kādu no mikrotik iekārtām,kaut ko satjūnējis,bet līdz galam šis tas tomēr nav izdevies. Kaut ko pieliek pēc youtubes instrukcijām un internets it kā strādā. Ar to ir par maz. Lai viss būtu ”pa smuko”, ir daudz nianšu, kurās parasts user-brutalis neiedziļinās,jo viņam simtu gadu tas nav vajadzīgs. Ir jāaizver visi neizmantotie porti,jānomaina default admin un pass uz citu. Firewall sadaļā rulēm ir jābūt pareizā secībā…Input chain..Output un Forward rulles( trafiks,kas iet caur routeri). Ja ir vajadzība, pieslēgumu rūterim no ārpasaules konektējam ar šifrētu vpn, nevis winbox rulle, kas definēta input sadaļā uz Wan portu.Tā nav ”labā prakse”. Attiecigi Input chain vēl papildinam ar aizsardzību pret brute force,Syn flood,Dns attack (wiki.mikrotik.com/wiki/Bruteforce_login_prevention). Nobeigumā visu chain-u pēdējo ruli parasti definē kā – add action=drop chain=forward comment=”Drop everything else”. Protams ir daudz dažādu situāciju, bet es minēju tādu parastu standartu, kurā ir viena iekārta un internets. Ir ļoti ļoti maz iekārtu, uz kurām es būtu kaut ko līdzīgu redzējis. Un grūti iedomāties, kas notiek piem.tai pašā Brazīlijā. Tur vienkārši neviens neiespringst uz kaut kādu muļķigu konfigurēšanu… Read more »
Nav brīnums, jo MikroTik ierīču konfigurācija ir sarežģīta un tur bez spaiņa šņabja galā netikt :) Tāpēc arī sēž puspasaule uz līki un nedroši nokonfigurētiem rūteriem.
Pilnīgi piekrītu :)
ar mikrotik darbojos no 2000 gad sākuma, kad vēl bija java versija winbox :) nekur tālu nav tikuši, pa šiem gadiem! Ja uzskatā, ka pietiek ar OSPF(IS-IS nesot vajadzīgs jo ir ospf) vai BGP, ipsec/vpn :) tad atliek novēlēt panākumus tikai un lai labi tirgojas wifi routeri!
+ par vxlan var tikai sapņot, kas jau ir no Linux 3.12
Nu tas jau ir vajadzīgs tik mega lielos ISP, telekomunikāciju vai mākoņservisu tīklos , lai visus no visiem izolētu :-)
Mikrotik pašlaik ir statusa tplink uz steroīdiem tālu no enterprise un isp vides :) par to ir stāsts ;) ne, kur tiek izmantots :D vēlreiz atkārtoju tīkli nav vairāk kā 10 gadus atpakaļ