Nul
I endnu et tilfælde af unpatched forbruger-enheder, som repræsenterer en trussel mod sikkerheden og privatlivets fred af brugere, tusindvis af MikroTik er blevet afsløret som er aflytning på brugere.
De routere har været kapret gennem CVE-2018-14847 sikkerhedsbrist, en kendt fejl, som påvirker MikroTik RouterOS operativsystem.
Svagheden er til stede i Winbox, en administration utility i MikroTik RouterOS, som også tilbyder en grafisk brugerflade til router-konfiguration.
Version 6.42 af OS “gjorde det muligt for fjernangribere at omgå autentifikation, og læse vilkårlige filer ved at ændre en anmodning om at ændre én byte, der er relateret til et Session-ID,” ifølge NIST.
Mens lappet i August, som forhindrer trussel aktører fra at læse eller exfiltrating data sendes gennem routeren, og mange modeller er fortsat sårbare.
Forskere fra 360 Netlab sige, at ud af over fem millioner enheder med en åben TCP/8291 port online, 1,2 millioner er MikroTik routere — som, 370,000 enheder forbliver uændrede mod CVE-2018-14847.
Se også: Denne malware forklædt som bankgaranti til raid din konto
Holdet har været picking up aktivt udnytter en række af disse routere siden midten af juli gennem en honeypot system.
I alt er der over 7.500 routere er direkte videresendelse bruger data, mens 239,000 har haft deres Socks4 fuldmagter skjulte aktiveret.
“Socks4 port er for det meste TCP/4153, og meget interessant, Socks4 proxy-config giver kun adgang fra en enkelt net-blok 95.154.216.128/25,” siger forskerne. “For angriberen at få kontrol, selv efter genstart enheden (IP-skift), enheden er konfigureret til at køre en planlagt opgave der skal med jævne mellemrum rapportere sine seneste IP-adresse ved at få adgang til en bestemt angriber URL. Angriberen fortsætter også med at scanne flere MikroTik RouterOS enheder ved hjælp af disse kompromitterede Socks4 fuldmagter.”
360 Netlab tilføjet, mens det vides ikke, hvorfor denne manipulation har fundet sted, og forskerne mener, at det er “noget vigtigt.”
Alle proxy-anmodninger i de berørte enheder er også omdirigeret til en lokal HTTP-fejlside, som de it-kriminelle håbede ville sætte lanceringen af en Coinhive minedrift script, der anvendes til at udvinde Monero.
Men hackerens egne proxy Acl ‘ er for at blokere script fra driftsaktivitet.
TechRepublic: Hvorfor router-baserede angreb, kunne være den næste store trend i internetsikkerhed
“MikroTik RouterOS enhed giver brugerne mulighed for at fange pakker på routeren og sende de optagede netværk trafik til den angivne Stream server,” forskeren sagde, tilføjer, at havne, 20, 21, 25, 110, 143 synes at være af størst interesse for uvedkommende.
“Dette fortjener[s] nogle spørgsmål, hvorfor angriberen er opmærksom på network management protocol regelmæssige brugere næppe bruge?,” 360 Netlab kommenteret. “Er, at de forsøger at overvåge og fange nogle særlige brugere’ net-snmp-strenge? Vi har ikke et svar på dette tidspunkt, men vi ville være meget interesseret i at vide, hvad svaret kunne være.”
CNET: Bedste Trådløse Routere til 2018
De fleste af ofrene kommer fra Rusland, efterfulgt af Brasilien, Indonesien, Indien og Iran.
På grund af forskernes resultater, er en af de angriber IPs, 103.193.137.211, er nu blevet suspenderet, og er ikke længere en trussel.
Tilbage i August, blev det opdaget, at MikroTik routere blev kompromitteret som en del af en massiv cryptojacking kampagne. Op til 200.000 routere havde været slaver på tidspunktet for opdagelsen og blev tvunget til mine Monero ved hjælp af Coinhive script.
Tidligere og relaterede dækning
MikroTik routere slaver i massiv Coinhive cryptojacking kampagne Cryptojacking kampagne, der udnytter Apache Struts 2 fejl dræber konkurrencen Facebook ‘s” war room’ jagter og ødelægger valg at blande sig, falske nyheder
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0