Nul
En russisk-talende grey-hat hacker at bryde ind i folks MikroTik routere og patching enheder, så de ikke kan misbruges af cryptojackers, botnet hyrder, eller andre cyber-kriminelle, ZDNet har lært.
Den hacker, der går under navn af Alexey og siger, at han fungerer som en server-administrator, hævder at have desinficeret over 100.000 MikroTik routere allerede.
Alexey har ikke forsøgt at skjule sine handlinger og har pralet med sin hobby på en russisk blogging platform. Han siger, at han får adgang til routere og gør ændringer til deres egne indstillinger for at forebygge yderligere misbrug.
“Jeg tilføjet firewall-regler, der har blokeret adgang til routeren fra uden for det lokale netværk,” Alexey sagde. “I de kommentarer, jeg skrev information om sårbarhed og venstre adresse @router_os Telegram kanal, hvor det var muligt for dem at stille spørgsmål.”
Men på trods af at justere firewall-indstillinger for over 100.000 brugere, Alexey siger, at kun 50 brugere nåede ud via Telegram. Et par stykker sagde, “tak”, men de fleste var forargede.
Vagtværn server administrator siger, at han har været alene om fastsættelse af routere, der ikke er blevet lappet af deres ejere mod en MikroTik sårbarhed, der kom for dagens lys i slutningen af April.
På det tidspunkt, sårbarhed (kendt som CVE-2018-14847) var en nul-dag, men MikroTik rullet ud af en rettelse på rekord tid. Ikke desto mindre, cyber-kriminelle hurtigt sprang om bord for at udnytte fejl.
CVE-2018-14847 er en meget praktisk sårbarhed, fordi det giver en hacker mulighed for at omgå autentifikation, og hente bruger-database fil. Angribere dekryptere denne fil, og benyt derefter en af brugernavn og adgangskode komboer for at logge ind på en ekstern enhed og gøre OS indstillinger og køre forskellige scripts.
I de sidste fem og en halv måneder, sårbarhed har primært været brugt til at plante cryptojacking scripts på forældede MikroTik routere [1, 2], og at kapre DNS-servere og senere omdirigere brugeren trafik til ondsindede websteder, [1, 2].
Dette ville ikke være et problem, men MikroTik er en af nutidens mest populære router brand. Der er over to millioner MikroTik routere i hele verden.
Sikkerhedsekspert Troy Mursch fortalte ZDNet i dag, at de millioner af MikroTik routere, der er sluttet til Internettet, over 420,000 viser tegn på, at de har været smittet med cryptocurrency-mining scripts.
Tale til ZDNet i dag, Ankit Anubhav, en sikkerhedsekspert til Nevskij Sikkerhed, har også oplyst, at DDoS-botnet forfattere har også forsøgt at inficere og corral disse enheder, som er under deres kontrol, men ikke.
“De sædvanlige Ti blackhat botnet fabrikken er dybest set uvidende om at udnytte, og hvordan det kan implementeres for en korrekt funktion botnet,” Anubhav sagde.
I stedet, siger han, at de mennesker placere cryptocurrency-mining scripts på de enheder, der er langt mere dygtig til at kapre sårbare routere. Anubhav spekuleret på, at dette ser ud til at være “arbejde af en kyndig lone skuespiller.”
Tingene blev endnu værre for MikroTik fællesskabet i den forgangne uge efter Holdbar forskere udgivet en ny udnytte ved navn “Ved Vejen” for den oprindelige CVE-2018-14847 sårbarhed. Dette ansporede nye interesse fra botnet fællesskabet.
Men grunden til, at Birthe var i stand til at “rense” over 100.000 routere er fordi ingen af hacker-grupper, som i øjeblikket misbruger MikroTik routere synes at udføre grundlæggende hygiejne.
“Angriberne er ikke at lukke [enhed havne] eller lappe de enheder, så alle, der ønsker yderligere at rode med disse routere, kan,” Anubhav fortalte ZDNet.
Heldigvis, Alexey har været at gøre denne oprydning på nogle brugere vegne. Men teknisk set, Alexey er på den forkerte side af loven. På trods af sine gode intentioner, det er ulovligt at få adgang til en anden person eller organisation, udstyr uden samtykke.
Alexey s vagtværn spree og kan være ulovlig, men han er absolut ikke den første.
I 2014, vil en hacker adgang til tusindvis af ASUS routere og plantede tekst advarsler inde computere med delte mapper og harddiske, der ligger bag disse routere, advarer brugere til at lappe deres ASUS enhed.
I slutningen af 2015, et team af vagtværn hackere går af navnet på det Hvide Hold lanceret Linux.Wifatch malware, der lukkede huller i sikkerheden på en række Linux-baserede routere. På et tidspunkt, det Hvide holds botnet blev så stor, det kæmpede med botnet af den berygtede Firben Trup team for titlen af internettets største botnet.
I 2017 vil en mere lusket vagtværn hacker ved navn Den Janit0r indsat BrickerBot malware, der skal slettes firmware eller muret IoT-enheder, der ikke var blevet opdateret.
Også i 2017, en hacker lavet over 150.000 printere udspy en besked til deres ejere til at hæve alles bevidsthed om faren for at forlade printere udsat online.
I 2018, en anden vagtværn omdøbt titusinder af MikroTik og Ubiquiti routere til at “HACKET” og andre beskeder for at få ejerens opmærksomhed til at opdatere deres enheder.
Mursch fortalte ZDNet, at han ikke mener, at de MikroTik situation vil blive bedre til enhver tid snart.
“Genstart grandma’ s router vil ikke løse dette,” sagde han. “Oprydning indsats skal udføres af tjenesteydere.”
Årsagen er, at mange af disse enheder er dog ikke routere, der er placeret inde i brugernes hjem, men er såkaldte “edge” – enheder, ofte en del af internetudbyderens interne infrastruktur, såsom routere, der er placeret i ISP-kasser tilbage i lejlighedskomplekser eller på gaden polakker.
En anden kilde i infosec samfund, der talte til ZDNet, men ikke ønsker sit navn fælles for denne historie bekræftet, at Alexey vigilante ‘ s indsats har også rørt edge-routere, ikke kun dem, der findes i folks hjem.
“Ironisk nok, ved at rense nogle ISP routere han kan få Internetudbyderne til at handle og løse alle routere så godt,” unavngiven forsker fortalte os.
Som for MikroTik, den lettiske virksomhed har været en af de mest lydhøre leverandører i form af sikkerhedshuller, fastsættelse af spørgsmål inden for få timer eller dage, i forhold til de måneder, der nogle andre router leverandører tendens til at tage. Det ville være urimeligt at bebrejde denne situation på dem. Patches har været ledige i flere måneder, men, endnu en gang, at det er Isp ‘ er og private brugere, der ikke formår at drage fordel af dem.
RELATEREDE DÆKNING:
Hackere brud web-hosting-udbyder for anden gang i det forløbne år,Fem år senere, italiensk politi identificere hacker bag 2013 NASA hacksOver ni millioner kameraer og Dvr åben for APTs, botnet hyrder, og voyeursWeb-hosting-udbydere tager tre dage i gennemsnit at svare til rapporter om misbrugTechRepublic: Hvorfor 31% af brud på datasikkerheden føre til, at medarbejdere bliver fyretCNET: At VPNFilter botnet FBI ville have os til at hjælpe med at dræbe? Det er stadig i liveNy undersøgelse fastslår, 5 af hver 6 routere er ikke tilstrækkeligt opdaterede til sikkerhedshullerOS ISP RCN butikker kunde adgangskoder i klartekstTusindvis af WordPress hjemmesider med skadelig kode, backdoored
Relaterede Emner:
Tingenes Internet
Sikkerhed-TV
Data Management
CXO
Datacentre
0