Zero
In ancora un altro caso di patch dispositivi di elettronica di consumo che rappresentano una minaccia per la sicurezza e la privacy degli utenti, migliaia di MikroTik, sono stati scoperti che sono in ascolto degli utenti.
I router sono stati dirottati attraverso la vulnerabilità CVE-2018-14847 vulnerabilità di sicurezza, un bug noto, che influisce MikroTik RouterOS sistema operativo.
La vulnerabilità è presente in Winbox, una utility di gestione della MikroTik RouterOS, che offre anche una GUI per la configurazione del router.
Versione 6.42 del sistema operativo “che consente agli aggressori remoti di bypassare l’autenticazione e la lettura di file arbitrari modificando una richiesta di modifica di un byte relativi a un ID di Sessione”, secondo il NIST.
Mentre il patch nel mese di agosto, che impedisce la minaccia attori dalla lettura o esfiltrare dati che passano attraverso il router, molti modelli sono ancora vulnerabili.
I ricercatori 360 Netlab dire che degli oltre cinque milioni di dispositivi, con un open TCP/8291 porta online, 1,2 milioni sono MikroTik router — di cui, di 370.000 dispositivi di restare senza patch contro CVE-2018-14847.
Vedi anche: Questo malware si traveste da banca di sicurezza per razziare il tuo account
La squadra è ripartita attivo gesta di un certo numero di questi router, da metà luglio, attraverso un honeypot sistema.
In totale, più di 7.500 router sono direttamente inoltro dati utente, mentre circa 239.000 hanno avuto il loro proxy Socks4 segretamente abilitato.
“Il Socks4 porta è in gran parte TCP/4153, e molto interessante, la configurazione del proxy Socks4 consente l’accesso solo da una singola net-blocco 95.154.216.128/25,” dicono i ricercatori. “In ordine all’hacker per ottenere il controllo anche dopo il riavvio del dispositivo (il cambio di IP), il dispositivo è configurato per eseguire un’operazione pianificata a riferire periodicamente il suo ultimo indirizzo IP di accesso a un utente malintenzionato URL. L’attaccante continua a eseguire la scansione di più MikroTik RouterOS dispositivi utilizzando questi compromessi proxy Socks4.”
360 Netlab aggiunto mentre non è noto il perché di questa manomissione ha avuto luogo, i ricercatori ritengono che si tratta di “qualcosa di significativo.”
Tutte le richieste di proxy in urtato dispositivi sono anche reindirizzato a un locale pagina di errore HTTP che i criminali informatici vorrebbe abilitare il lancio di un Coinhive di data mining script, utilizzato per la miniera di Monero.
Tuttavia, l’attaccante del proprio proxy Acl blocco di script per essere operativo.
TechRepublic: Perché basato su router attacchi potrebbe essere la prossima grande tendenza per la sicurezza informatica
“Il MikroTik RouterOS dispositivo consente agli utenti di catturare i pacchetti del router e inoltrare il traffico di rete acquisiti al Flusso specificato server”, il ricercatore ha detto, aggiungendo che le porte 20, 21, 25, 110, 143 sembrano essere di maggior interesse per le intercettazioni.
“Questo meritano[s] alcune domande, perché l’attaccante è prestare attenzione a il protocollo di gestione di rete gli utenti normali a malapena usare?,” 360 Netlab, ha commentato. “Stanno cercando di monitorare e catturare alcuni speciali di rete degli utenti di stringhe di comunità snmp? Non abbiamo una risposta, a questo punto, ma siamo molto interessati a sapere che cosa la risposta potrebbe essere.”
CNET: Miglior Router Wireless per il 2018
La maggior parte delle vittime provengono da Russia, seguita da Brasile, Indonesia, India e Iran.
Grazie per le scoperte dei ricercatori, una delle attaccante IPs, 103.193.137.211, ora è stato sospeso e non è più una minaccia.
Torna nel mese di agosto, si è scoperto che MikroTik router sono stati di essere compromessa, come parte di un enorme cryptojacking campagna. Fino a 200.000 router era stata asservita al momento della scoperta e sono stati costretti a mio Monero attraverso la Coinhive script.
Precedente e relativa copertura
MikroTik router schiavi massiccia Coinhive cryptojacking campagna Cryptojacking campagna sfruttando Apache Struts 2 difetto uccide la concorrenza Facebook “war room” caccia e distrugge elezione ingerenza, di false notizie
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0