image

Cryptominer infecteert 157.000 ongepatchte MikroTik-routers

woensdag 15 augustus 2018, 12:22 door Redactie, 3 reacties

Wereldwijd zijn er op dit moment 157.000 ongepatchte MikroTik-routers met een cryptominer geïnfecteerd die het verkeer van gebruikers manipuleert. Dat meldt anti-virusbedrijf Symantec. Begin deze maand werd er al over de malware bericht, die zich in eerste instantie alleen op MikroTik-routers in Brazilië richtte.

Inmiddels zijn MikroTik-routers wereldwijd het doelwit. Zodra een router is gehackt wordt al het http-verkeer onderschept en van de Coinhive-cryptominer voorzien. Dit is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit.

Daarnaast wordt er een backdoor-gebruiker aan de ftp-groep van de router toegevoegd, alsmede Winbox en ftp- en ssh-diensten ingeschakeld. Alle gehackte MikroTik-routers die Symantec tegenkwam draaiden een kwetsbare Winbox-versie. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en de router compromitteren. Sinds 23 april van dit jaar is er echter een beveiligingsupdate van MikroTik voor het beveiligingslek beschikbaar. Gebruikers krijgen het advies die te installeren.

Reacties (3)
15-08-2018, 14:50 door Anoniem
"Alle gehackte MikroTik-routers die Symantec tegenkwam draaiden een kwetsbare Winbox-versie."

Winbox draait niet op de router maar op een windows machine of -box. Het is een GUI om de router te configureren.
De software op de router die mogelijk kwetsbaar is (versie < 6.42.1 en niet 6.40.8) heet RouterOS.
Het kan zijn dat na het updaten van RouterOS ook een update van Winbox nodig is, omdat het authenticatie protocol
tussen de router en Winbox is aangepast. Of dit nodig is hangt er vanaf welke update er geinstalleerd wordt en welke
Winbox men al had.
16-08-2018, 15:00 door Anoniem
Zit hier in een Resort in Gran Canaria waar meerdere mirktoik ap's kwetsbaar zijn.
Niet via IP maar via MAC-SERVER een methode waarbij je de router kunt configureren zonder dat deze een ip adres heeft.

Leuk voor iemand die de AP voor zichzelf wilt.
17-10-2018, 16:47 door Anoniem
Gelukkig dat Mikrotik deze problemen direct aanpakt. Er zijn vlug updates om deze kwetsbaarheden te dichten.
Regelmatig kijken of er updates zijn is zeer belangrijk en niet alleen voor de Mikrotik router.
Wat ik persoonlijk doe is bij vermoedelijk geïnfecteerde Mikrotik routers netinstall uit te voeren waardoor RouterOS volledig wordt vernieuwd. De procedure wordt hier mooi uitgelegd. https://www.wirelessinfo.be/mikrotik-netinstall/
MAC-server en inloggen via MAC-adres kan je volledig uitschakelen op de Mikrotik router.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.