Cryptominer infecteert 157.000 ongepatchte MikroTik-routers
Wereldwijd zijn er op dit moment 157.000 ongepatchte MikroTik-routers met een cryptominer geïnfecteerd die het verkeer van gebruikers manipuleert. Dat meldt anti-virusbedrijf Symantec. Begin deze maand werd er al over de malware bericht, die zich in eerste instantie alleen op MikroTik-routers in Brazilië richtte.
Inmiddels zijn MikroTik-routers wereldwijd het doelwit. Zodra een router is gehackt wordt al het http-verkeer onderschept en van de Coinhive-cryptominer voorzien. Dit is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit.
Daarnaast wordt er een backdoor-gebruiker aan de ftp-groep van de router toegevoegd, alsmede Winbox en ftp- en ssh-diensten ingeschakeld. Alle gehackte MikroTik-routers die Symantec tegenkwam draaiden een kwetsbare Winbox-versie. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en de router compromitteren. Sinds 23 april van dit jaar is er echter een beveiligingsupdate van MikroTik voor het beveiligingslek beschikbaar. Gebruikers krijgen het advies die te installeren.
Winbox draait niet op de router maar op een windows machine of -box. Het is een GUI om de router te configureren.
De software op de router die mogelijk kwetsbaar is (versie < 6.42.1 en niet 6.40.8) heet RouterOS.
Het kan zijn dat na het updaten van RouterOS ook een update van Winbox nodig is, omdat het authenticatie protocol
tussen de router en Winbox is aangepast. Of dit nodig is hangt er vanaf welke update er geinstalleerd wordt en welke
Winbox men al had.
Niet via IP maar via MAC-SERVER een methode waarbij je de router kunt configureren zonder dat deze een ip adres heeft.
Leuk voor iemand die de AP voor zichzelf wilt.
Regelmatig kijken of er updates zijn is zeer belangrijk en niet alleen voor de Mikrotik router.
Wat ik persoonlijk doe is bij vermoedelijk geïnfecteerde Mikrotik routers netinstall uit te voeren waardoor RouterOS volledig wordt vernieuwd. De procedure wordt hier mooi uitgelegd. https://www.wirelessinfo.be/mikrotik-netinstall/
MAC-server en inloggen via MAC-adres kan je volledig uitschakelen op de Mikrotik router.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
