Noll
I ännu ett fall av okorrigerad konsumentenheter som representerar ett hot mot säkerhet och integritet för användare, tusentals MikroTik har avslöjats som är avlyssning på användare.
De routrar som har kapats genom CVE-2018-14847 säkerhetsrisk, en känd bugg som påverkar MikroTik RouterOS operativsystem.
Sårbarheten finns i Winbox, en förvaltning som verktyg i MikroTik RouterOS som också erbjuder ett GRAFISKT gränssnitt för konfiguration.
Version 6.42 av OS “gör det möjligt för angripare utifrån att förbigå autentisering och läsa godtyckliga filer genom att ändra en begäran om att ändra en byte som är relaterade till ett Sessions-ID”, enligt NIST.
Samtidigt som lagas i augusti, som förhindrar hot aktörer från att läsa eller exfiltrating data skickas via router, många modeller är sårbara.
Forskare från 360 Netlab säga att av över fem miljoner enheter med en öppen TCP/8291-port på nätet, 1,2 miljoner MikroTik routrar — som, 370,000 enheter kvar unpatched mot CVE-2018-14847.
Se även: Detta malware döljer sig som bank security raid ditt konto
Laget har varit att plocka upp aktivt utnyttjar ett antal av dessa routrar sedan mitten av juli via en skål med honung system.
Totalt 7,500 routrar är direkt vidarebefordran av användardata, medan 239,000 har haft en Socks4 proxy hemlighet aktiverad.
“Socks4 port är oftast TCP/4153, och mycket intressant, Socks4 proxy config endast tillåter access från en netto-block 95.154.216.128/25,” forskarna säger. “För angripare att ta kontroll även efter det att enheten startar om (IP-förändring), enheten är konfigurerad för att köra en schemalagd uppgift att regelbundet rapportera sitt senaste IP-adress genom att få tillgång till en specifik angripare URL. Angriparen fortsätter också att skanna mer MikroTik RouterOS enheter med hjälp av dessa äventyras Socks4 proxy.”
360 Netlab lagts till medan det är inte känt varför detta ingrepp har skett, forskarna tror att det är “något stort.”
Alla proxy-förfrågningar i de påverkade enheterna är också omdirigeras till en lokal HTTP-fel-sida som cyberbrottslingar hoppades skulle göra det möjligt att lanseringen av en Coinhive gruv-script, som används för att min Monero.
Men angriparens egen proxy Acl blockera skript från den löpande.
TechRepublic: Varför router-baserade attacker som kan bli nästa stora trend i it-säkerhet
“MikroTik RouterOS enhet gör det möjligt för användare att fånga paket på routern och framåt tagna nätverkstrafik till den angivna Strömmen server,” forskaren sa att hamnar 20, 21, 25, 110, 143 verkar vara av störst intresse för obehöriga.
“Det här förtjänar[s] några frågor, varför angriparen är uppmärksamma network management protocol regelbundna användare knappt använda?,” 360 Netlab kommenterade. “De försöker att övervaka och fånga några speciella användare’ nätverk snmp-strängar? Att vi inte har ett svar på detta, men vi skulle vara väldigt intresserad av att veta vad svaret kan vara.”
CNET: Bästa Trådlösa Routrar för 2018
Majoriteten av offren kommer från Ryssland, följt av Brasilien, Indonesien, Indien och Iran.
På grund av forskarnas resultat, en av angriparen IPs, 103.193.137.211, har nu stängts av och är inte längre ett hot.
Tillbaka i augusti, det upptäcktes att MikroTik routrar bryts som en del av en massiv cryptojacking kampanj. Upp till 200 000 routrar hade varit förslavade vid tidpunkten för upptäckten och var tvungen att bryta för Monero genom Coinhive manus.
Tidigare och relaterade täckning
MikroTik routrar förslavade i massiv Coinhive cryptojacking kampanj Cryptojacking kampanj som utnyttjar Apache Struts 2 fel dödar konkurrensen Facebook ‘s” war room ” jagar och förstör valet att lägga sig, falska nyheter
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0