image

Gehackte MikroTik-routers injecteren cryptominer op websites

donderdag 2 augustus 2018, 11:30 door Redactie, 18 reacties

Onderzoekers hebben tienduizenden gehackte routers van fabrikant MikroTik ontdekt die op alle websites die de eigenaren bezoeken een cryptominer injecteren. Mogelijk gaat het zelfs om 170.000 gehackte routers, zo stelt onderzoeker Simon Kenin van securitybedrijf Trustwave in een blogposting.

De MikroTik-routers worden gehackt via een kwetsbaarheid die op 23 april van dit jaar door MikroTik werd gepatcht. Toch zijn er nog altijd honderdduizenden kwetsbare routers te vinden, aldus Kenin. Via het beveiligingslek kan een aanvaller op afstand beheerderstoegang tot een kwetsbare MikroTik-router krijgen. Vervolgens wordt er een script uitgevoerd dat op alle websites die de eigenaar bezoekt de Coinhive-cryptominer injecteert.

Coinhive is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Uit cijfers van analyseplatform Censys.io blijkt dat de cryptominer op meer dan 170.000 MikroTik-routers actief is. 70.000 van de routers zouden zich in Brazilië bevinden. Eigenaren van de apparaten krijgen het advies om de laatste firmware-update te installeren.

Reacties (18)
02-08-2018, 11:46 door Anoniem
Het injectieren van zo'n miner kan toch enkel op niet https websites? Aangezien de meeste sites inmiddels https draaien, lijkt me dit een relatief ineffectieve manier om de routers te misbruiken. Thoughts?
02-08-2018, 11:50 door Anoniem
Als eigenaar van een aantal Mikotik devices kijk ik met lede ogen naar. Al een tijd zijn wij samen et mikrotik bezig.

Op security wordt echt stappen genomen resultaten bereikt. Het probleem is de communicatie en dat is moeilijker om hier Mikrotik zover the krijgen dat dit ook op niveau komt. Dit had bijvoorbeeld de aantal van de u gehackte devices kunnen beperken. Men all er gewoonweg niet aan ondanks dat zij alle middelen hebben om dit te communiceren.

Ik heb soms het gevoel dat ik tegen de bierkaai aan het vechten ben.
02-08-2018, 13:15 door Anoniem
@ anoniem van 11:50

Heb je ook zo af en toe niet het vreemde gevoel alsof bepaalde partijen de onveiligheid op de digitale infrastructuur eigenlijk wel goed vinden zo en er daarom (te) weinig aan gebeurt of te weinig aan bewustwording wordt gedaan. Het zogenaamde "orde uit chaos verkrijgen"paradigma, waar een heleboel monoculturen en monopolies later op stoelen of m.a.w. "In het Rijk der Blinden is Eenoog Koning" idee.

Dat geeft bij ons dat vechten tegen de bierkaai gevoel.Herhaling is de kracht der reclame, maar als er niet naar geluisterd wordt, werkt het kennelijk niet. Hoe lang hamert men al niet op patchen en upgraden en afserveren van kwetsbare en nog erger verlaten code. Zo lang het Internet bestaat al .....en toch helpt het niet.

Het is als met het roken van een sigaret. Zou je er gelijk dood bij neervallen, rookte er niemand, toch?. Als je OS gewoon blijft werken ondanksalle bugs en exploits etc. verandert niemand zijn of haar grondhouding en klikt men lekker onbezorgd verder. Mikrotik veilig, klik, klik, klik, Microtik onveilig, klik, klik, klik ;)

luntrus
02-08-2018, 13:20 door Anoniem
Door Anoniem: Het injectieren van zo'n miner kan toch enkel op niet https websites? Aangezien de meeste sites inmiddels https draaien, lijkt me dit een relatief ineffectieve manier om de routers te misbruiken. Thoughts?

https is de transport layer, die is encrypt, dat houdt niet in dat de endpoints veilig zijn.
Dat de injectie meelift werkt in principe alleen op niet excrypte verbindingen, maar een router kan zich ook als MITM gaan gedragen, waarna ook https sites aangevallen kunnen worden.
02-08-2018, 14:06 door Anoniem
Dat de injectie meelift werkt in principe alleen op niet excrypte verbindingen, maar een router kan zich ook als MITM gaan gedragen, waarna ook https sites aangevallen kunnen worden.
Dat kan, echter moet er dan een fake root certificaat aan de browser zijn toegevoegd. En je kunt het eenvoudig testen door de fingerprint van een website te controleren (bij veel banken staan deze hashes vermeld op de website). Als die twee matchen, dan zit er geen MitM tussen. Idem met een VPN: als die goed opbouwt, dan kan geen enkel tussenliggend device daar traffic op injecteren.
02-08-2018, 15:19 door Anoniem
Door Anoniem: Als eigenaar van een aantal Mikotik devices kijk ik met lede ogen naar. Al een tijd zijn wij samen et mikrotik bezig.

Op security wordt echt stappen genomen resultaten bereikt. Het probleem is de communicatie en dat is moeilijker om hier Mikrotik zover the krijgen dat dit ook op niveau komt. Dit had bijvoorbeeld de aantal van de u gehackte devices kunnen beperken. Men all er gewoonweg niet aan ondanks dat zij alle middelen hebben om dit te communiceren.

Ik heb soms het gevoel dat ik tegen de bierkaai aan het vechten ben.

Dat laatste is zeker het geval maar het is niet een specifiek MikroTik probleem. Er was gisteren nog een posting over
hetzelfde onderwerp. Consumenten kopen een router, doen het minimum om deze te configureren, sluiten hem aan en
kijken er verder niet meer naar. Je hoeft niet te verwachten dat ze ooit nog updaten en je kunt ze ook niet meer bereiken.
Manieren waarop dat wel zou kunnen (bijvoorbeeld routers die zelf regelmatig checken of er updates zijn en deze zelf
downloaden en installeren) daar wordt ook vaak fronsend naar gekeken. "the device is calling home!" of in andere
kringen "het is MIJN router en IK bepaal of die geupdate wordt" (zoals de mensen op dit forum).

Punt is ook dat de default firewall al vrij lang, en sinds de 6.41 update nog beter, beschermt tegen dit soort dingen zolang
je maar de juiste config doet. Een bekend risico is bijvoorbeeld om PPPoE te configureren aan de hand van een
youtube filmpje in plaats van via de handleiding of de ingebouwde setup wizard. Je maakt dan een nieuwe interface
aan die in de oude firewall default open staat voor inkomende connecties dus moet je de firewall aanpassen.
Doet niemand. Gevolg router staat open voor logins en DNS resolving (en wordt dus misbruikt voor DDoS amplification).
Wat doe je eraan? DE JUISTE setup doen. Handleiding volgen. Youtube negeren. Reset to defaults doen na je
1e software update na uitpakken. Doet allemaal niemand.
Dat kun je en dat kan MikroTik niet veranderen. Wat dat betreft is het de bierkaai, maar niet de bierkaai MikroTik
maar de bierkaai van de horde aan plug-and-play users en wannabe systeembeheerders van WISP's in de bush bush.
02-08-2018, 16:12 door Anoniem

Heb je ook zo af en toe niet het vreemde gevoel alsof bepaalde partijen de onveiligheid op de digitale infrastructuur eigenlijk wel goed vinden zo en er daarom (te) weinig aan gebeurt of te weinig aan bewustwording wordt gedaan. Het zogenaamde "orde uit chaos verkrijgen"paradigma

Ja dat gevoel heb ik ook. Heeft echter niets te maken met ''orde uit chaos verkrijgen'', of andere complot onzin. Wel met een kosten/baten analyse. Indien meer veiligheid niet meer geld oplevert, dan boeit het producenten weinig; veiligheid kost vaak geld (en als je het doorberekend in de prijs, gaan veel consumenten naar de concurrent).

Het ligt dus eerder aan commerciele aspecten, zoals kosten. Waarbij het niet alleen gaat om wat de producent wel/niet bereid is te doen, maar ook met de vraag of de consument wel/niet bereid is om daarvoor te betalen. Wat dat betreft is de eindgebruiker ook zelf mede verantwoordelijk.

Als wij als consumenten meer veiligheid eisen *en* bereid zijn daarvoor te betalen (i.p.v. een goedkoper alternatief te kopen), dan zullen producenten het op dit vlak ook beter gaan doen.

Maar een complot verhaal verzinnen, en duistere motieven zoeken, dat blijft natuurlijk altijd leuk ;))
02-08-2018, 18:01 door Anoniem
Complot theorie of niet, het nastreven van een ongehoorde monopolie positie voor/door de grote 5 Amerikaanse Silicon ValleyTech bedrijven (google, facebook, microsoft, apple, akamai, enz.) is geen complot theorie. Ze doen er veel voor https everywhere om de advertentie concurrent buiten de deur te houden, alles over de non-public cloud jassen en weinig openheid over hoe ze op allerhande manieren hun monopolie positie verder uitwerken. Mono-cultures op de browser, alles met dezelfde engines, extensies en via dezelfde algoritmen over dezelfde backbone en ook nog eens deep packet gefiltered voor de U.A of A en bondgenoten. Beetje scheefgegroeid of totaal? 1% tegen de rest, 1% contra the users as product.
Deel het maar met dropbox en kun je er later dan nog steeds onder alle omstandigheden bij?

Als je dan ziet dat ze in geen enkele echte zin worden ingetoomd, dan komen door de ongebreidelde commerciele machtshonger toch allerlei andere belangrijke aspecten in het gedrang - privacy, concurrentie, innovatie, informatie vrijheid.
Iedereen kan inzien dat dit niet goed gaat aflopen. We zijn na 1945 en nu vooral een bezet land en continent en nu ook nog een digitaal bezette natie. Probeer dat maar te debunken.

Vragen hierbij stellen werd succesvol sinds de jaren 50 door CIA tot complot theorie denken verklaard. Dat is zeer succesvol gebleken om de geprefereerde meningen in stand te houden en dissidenten de mond te snoeren. Gelukkig dat elke wereldmacht maar 250 jaar beschoren is en er dan weer wat anders komt. Stel je vragen over de veiligheid van de infrastructuur ben je tegenwoordig niet goed bij je hoofd of in ieder geval lastig.
02-08-2018, 20:51 door Anoniem
Zit MikroTik (uit Letland) volgens jou ook in dat complot? Denk je dat ze met opzet bugs inbouwen zodat jouw grote
5 bedrijven hun zin krijgen?
02-08-2018, 22:44 door Anoniem
Door Anoniem:

[..]
Als wij als consumenten meer veiligheid eisen *en* bereid zijn daarvoor te betalen (i.p.v. een goedkoper alternatief te kopen), dan zullen producenten het op dit vlak ook beter gaan doen.

Eén van de vervelende dingen van security is dat je het als consument (en zelfs als expert) het feitelijk niet kunt meten/herkennen/valideren .

Je kunt een dure doos kopen , met veel beloftes over security. _Is_ die ook secure ? Dat weet je niet. Je kunt wat basele dingen testen (geen open poorten aan de buitenkant, support encryptie voor het management van de doos), en dat is het wel, zo'n beetje .

Zelfs stervensdure _security_ appliances bleken buggy (Cisco ASA) of zelfs dubbel gebackdoored (Juniper Netscreen)

Met Linux als voorbeeld wil ik het argument "als het goedkoop is kan het onmogelijk goed zijn" niet al te hard maken.

Inderdaad zijn er dingen die de fabrikant bij het ontwikkelen kan doen die geld kosten (allerhande validatie testen van de code, audits , externe review e.d.). Dan nog kun je bugs missen.

Hoe dan ook - zelfs als je werkelijk wilt betalen voor een 'veilig' product is het herkennen ervan ondoenlijk.
02-08-2018, 23:07 door Anoniem
In het geval van MikroTik denk ik dat niet. Daar gaat het om een algemene houding, waardoor de algemene infrastructuur steeds onveilig blijft. Kennelijk is dat zo 1, 2, 3 niet te veranderen - updaten, patchen en juist configureren en bewaken.

Sinds het begin van de digitale infrastructuur is hier nog niet zo veel veranderd en blijft het vooral aanmodderen, of sommigen in zo'n klimaat hun kansen schoon zien of van deze situatie gebruik maken is een tweede en een meer speculatief verhaal.
03-08-2018, 07:34 door Anoniem
Door Anoniem: Als wij als consumenten meer veiligheid eisen *en* bereid zijn daarvoor te betalen (i.p.v. een goedkoper alternatief te kopen), dan zullen producenten het op dit vlak ook beter gaan doen.
Geeft een hogere prijs een garantie dat het goed zit? Bij veel te veel produkten is die relatie ver te zoeken, dus hoe moet de doorsnee digibete consument beoordelen of de hogere prijs van een router gerechtvaardigd is? Op de doos staat geen eerlijke opsomming van nadelen van een produkt, vrees ik.

Het ontbreken van voldoende betrouwbare informatie en de overdaad aan non-informatie maken vandaag de dag dat de werkelijkheid ook maar een mening lijkt voor veel mensen. Zie jij het nog gebeuren dat consumenten iets coherents eisen en vervolgens de fabrikanten die klachten netjes oppakken en hun produkten verbeteren weten te onderscheiden van fabrikanten die het imagoprobleem met marketing (meer non-informatie) aanpakken?

Ik ben bang dat maar een fractie van de consumenten deskundig genoeg is om maar bij benadering te weten wat ze moeten eisen en hoe ze moeten herkennen dat iets aan hun eisen voldoet. In die omstandigheden moet je het niet van marktwerking hebben maar van wetgeving.
03-08-2018, 10:05 door Anoniem
En dan heb je nog de medische apparaten, waar gerenomeerde fabrikanten nog steeds apparatuur nieuw durven te verkopen met Windows XP embedded.........
Hoe bedoelt u, veilige apparatuur ? Hoe bedoelt u, vertrouwde leverancier ? Het gaat allemaal om geld en niets anders....
03-08-2018, 10:56 door Anoniem
Door Anoniem:
Zelfs stervensdure _security_ appliances bleken buggy (Cisco ASA) of zelfs dubbel gebackdoored (Juniper Netscreen)

Met Linux als voorbeeld wil ik het argument "als het goedkoop is kan het onmogelijk goed zijn" niet al te hard maken.

Inderdaad zijn er dingen die de fabrikant bij het ontwikkelen kan doen die geld kosten (allerhande validatie testen van de code, audits , externe review e.d.). Dan nog kun je bugs missen.

Ja sterker nog, je kunt backdoors en andere truuks missen. De mensen denken (dat zie je ook als men het heeft
over open source voordelen) dat een backdoor in een router te vinden is door te zoeken naar die !strcmp(user,"backdoor")
in de code die de gebruiker binnen laat zonder password, en met een audit of externe review ga je die waarschijnlijk
ook wel vinden, maar zo wordt dat natuurlijk allang niet meer gedaan. Ook het zoeken naar potentiele buffer overruns
is wel mogelijk maar heeft zijn beperkingen. Keer op keer komen er toch weer dingen naar boven die bugs zouden
kunnen zijn maar voor hetzelfde geld met opzet kunnen zijn ingebouwd. En een /* don't change! this is for CIA! */
staat er vast niet bij.
03-08-2018, 13:06 door Anoniem
@ anoniem van 10:57

Een exacte aanduiding van de gehele volledig gepn*w*de toestand, onopzettelijk en soms ook nog opzettelijk ingebracht.
U, beste anoniem, heeft het gehele plaatje op het netvlies en goed de algemene toestand verwoord. Waren we allemaal intussen maar zover metonze inzichten, dan kwam het wel goed. De dommerds en arroganten hebben helaas de overhand.

Maar wat kan men er aan doen via bewustwording waar het hoort? Ik loop al zo'n zeven rond op een Hogere Opleiding voor IT Studies. Dat wat de yank noemt "university of applied science studies" en daar wordt ook geen adequaat security bewustzijn bijgebracht, zeker niet aan reguliere IT, bij TINF in onvoldoende mate. Af te voeren code, GOP encryptie sleutels, velen hebben er nooit van gehoord, zelfs niet van een online lambda generator.

Hebben ze een security papiertje worden ze gelijk gefeliciteerd en benaderd door een of andere drie- of vierletter-dienst. De gewone burgers zijn ondertussen "birdfeed" voor Big Commerce & Big Gubberment.
03-08-2018, 21:33 door Anoniem
Door Anoniem:
[..]
Ik ben bang dat maar een fractie van de consumenten deskundig genoeg is om maar bij benadering te weten wat ze moeten eisen en hoe ze moeten herkennen dat iets aan hun eisen voldoet. In die omstandigheden moet je het niet van marktwerking hebben maar van wetgeving.

Met het 'succes' van de cookie wet in gedachten wil ik niet roepen om wetgeving.

Eerst ben ik benieuwd hoe je (of iemand) in gedachten had om de security van een product bruikbaar te meten.
[ik schreef ook 2-8 22:44 ]. Pas als je het met enige betekenis kunt meten , kun je gaan denken aan het opleggen van een bepaalde score , of de meting (moeten) vermelden bij het product.

De veiligheid van auto's is in de laatste pakweg vijftig jaar significant verbeterd , nadat er steeds betere representatieve testen kwamen van botsingen en letsels - er is een ondergrens voor toelating op de openbare weg, en de consument kan zoeken naar een 'veiliger' auto op basis van NCAP sterren (of vergelijkbare organisaties elders).

Voor 'security' kan ik eigenlijk geen vergelijkbare testen verzinnen die werkelijk wat betekenen - de afwezigheid van open poorten aan WAN zijde is een voorbeeldje, maar er zijn legio issues die daar niets mee te maken hadden. Oftewel, de ondergrens die je krijgt van dergelijke testen is een heel lage ondergrens, die je bepaald geen veilig device geeft.
04-08-2018, 08:08 door Anoniem
Door Anoniem: Eerst ben ik benieuwd hoe je (of iemand) in gedachten had om de security van een product bruikbaar te meten.
[ik schreef ook 2-8 22:44 ]. Pas als je het met enige betekenis kunt meten , kun je gaan denken aan het opleggen van een bepaalde score , of de meting (moeten) vermelden bij het product.
Het was een reactie op "als wij als consumenten meer veiligheid eisen". Ik denk dat een organisatie die de middelen kan inzetten om het oordeel professioneel aan te pakken hoe dan ook beter in staat is dan consumenten om uit te werken wat onder veiligheid verstaan moet worden.

Aan de AVG en de AP kan je zien dat het niet per se nodig is om technische criteria op te stellen. Je moet maatregelen nemen om te voorkomen dat het misgaat, maar de AVG werkt niet uit hoe je het precies moet doen. Als het misgaat kunnen er wel serieuze boetes worden uitgedeeld. Waarom zou een dergelijk model niet kunnen werken?

Met het 'succes' van de cookie wet in gedachten wil ik niet roepen om wetgeving.
Wat mij is opgevallen is dat veel websites op irritante en opzichtige manieren toestemming gingen vragen voor dingen waarvoor helemaal geen toestemming nodig is. Cookies die noodzakelijk zijn om een site te laten functioneren (sessiecookies) mogen namelijk zonder toestemming gebruikt worden. Men heeft moord en brand geschreeuwd over hoe onwerkbaar die wet is en hem zo hinderlijk mogelijk voor bezoekers van websites gemaakt. Voor mij riekt dit naar bewuste sabotage van de wet door een branche die zijn mogelijkheden om bezoekers te exploiteren erdoor beperkt zag worden. In mijn ogen toont dit niet aan dat die wet faalde, het toont aan hoe hard hij nodig was.
06-08-2018, 15:25 door Anoniem
DE CVE voor deze kwetsbaarheid is: CVE-2018-14847 aangemaakt op 2 augustus 2018
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.