Cryptominer infecteert 157.000 ongepatchte MikroTik-routers
Wereldwijd zijn er op dit moment 157.000 ongepatchte MikroTik-routers met een cryptominer geïnfecteerd die het verkeer van gebruikers manipuleert. Dat meldt anti-virusbedrijf Symantec. Begin deze maand werd er al over de malware bericht, die zich in eerste instantie alleen op MikroTik-routers in Brazilië richtte.
Inmiddels zijn MikroTik-routers wereldwijd het doelwit. Zodra een router is gehackt wordt al het http-verkeer onderschept en van de Coinhive-cryptominer voorzien. Dit is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit.
Daarnaast wordt er een backdoor-gebruiker aan de ftp-groep van de router toegevoegd, alsmede Winbox en ftp- en ssh-diensten ingeschakeld. Alle gehackte MikroTik-routers die Symantec tegenkwam draaiden een kwetsbare Winbox-versie. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en de router compromitteren. Sinds 23 april van dit jaar is er echter een beveiligingsupdate van MikroTik voor het beveiligingslek beschikbaar. Gebruikers krijgen het advies die te installeren.
Winbox draait niet op de router maar op een windows machine of -box. Het is een GUI om de router te configureren.
De software op de router die mogelijk kwetsbaar is (versie < 6.42.1 en niet 6.40.8) heet RouterOS.
Het kan zijn dat na het updaten van RouterOS ook een update van Winbox nodig is, omdat het authenticatie protocol
tussen de router en Winbox is aangepast. Of dit nodig is hangt er vanaf welke update er geinstalleerd wordt en welke
Winbox men al had.
Niet via IP maar via MAC-SERVER een methode waarbij je de router kunt configureren zonder dat deze een ip adres heeft.
Leuk voor iemand die de AP voor zichzelf wilt.
Regelmatig kijken of er updates zijn is zeer belangrijk en niet alleen voor de Mikrotik router.
Wat ik persoonlijk doe is bij vermoedelijk geïnfecteerde Mikrotik routers netinstall uit te voeren waardoor RouterOS volledig wordt vernieuwd. De procedure wordt hier mooi uitgelegd. https://www.wirelessinfo.be/mikrotik-netinstall/
MAC-server en inloggen via MAC-adres kan je volledig uitschakelen op de Mikrotik router.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
