image

200.000 MikroTik-routers geïnfecteerd met cryptominer

vrijdag 28 september 2018, 10:02 door Redactie, 8 reacties

Wereldwijd zijn meer dan 200.000 MikroTik-routers geïnfecteerd geraakt met malware die in het http-verkeer van aangesloten apparaten een cryptominer injecteert. De cryptominer gebruikt vervolgens de rekenkracht van deze apparaten voor het delven van cryptovaluta.

De MikroTik-routers worden geïnfecteerd via een beveiligingslek waar op 23 april van dit jaar een update voor verscheen. Hoewel de beveiligingsupdate al vijf maanden beschikbaar is hebben nog niet alle beheerders en eigenaren die geïnstalleerd. Volgens onderzoeker Troy Mursch van Bad Packets Report zijn er inmiddels meer dan 80 unieke aanvalscampagnes die naar kwetsbare routers zoeken om die vervolgens te infecteren.

Sommige van deze campagnes proberen detectie te voorkomen door niet de volledige rekenkracht te gebruiken van apparaten die op de router zijn ingesloten. In plaats daarvan wordt zo'n 80 procent van de processor ingezet voor het delven van cryptovaluta zoals Monero en Electroneum. Mursch stelt dat het aantal besmette routers inmiddels de 200.000 is gepasseerd.

Aanvallers kunnen de besmette routers voor veel meer zaken gebruiken dan alleen cryptomining. Eerder deze maand werden nog duizenden gehackte MikroTik-routers ontdekt die het verkeer van gebruikers naar aanvallers doorstuurden. Die kunnen zo gevoelige gegevens onderscheppen. Gebruikers van een MikroTik-router met RouterOS 6.42 of ouder krijgen dan ook het dringende advies om te updaten naar een nieuwere versie.

Reacties (8)
28-09-2018, 10:15 door Anoniem
Waarom worden deze routers zo vaak gehacked? Er is meerdere malen posts over deze routers geplaats
28-09-2018, 10:21 door Anoniem
Uiteraard merk je dit vrij snel op omdat de computer warm wordt, de fan draait sneller, de batterij is eerder leeg als je
daar mee werkt, en een CPU belasting indicator geeft dit ook aan. Hoe merkbaar het is hangt af van het type computer
maar meestal gaat het niet onopgemerkt voorbij.
28-09-2018, 11:51 door Anoniem
Door Anoniem: Waarom worden deze routers zo vaak gehacked? Er is meerdere malen posts over deze routers geplaats
Het zijn niet iedere keer nieuwe gehackte routers.
Degenen die gehacked zijn en waar de eigenaar niks aan doet die blijven steeds terugkomen in allerlei scenario's en
daar wordt dan steeds weer over geschreven. Het aantal zal in de loop der tijd langzaam afnemen maar er is altijd
een flink aantal gebruikers wat niks doet of niks in de gaten heeft.
Vergelijk het met de vele vele Windows PC's waar "ze binnen zijn" en het gaat om een relatief klein aantal. Maar de
"security onderzoekers" zijn daar nu wel zo'n beetje op uitgekeken, die gaan niet meer over ieder PC botnetje schrijven.
28-09-2018, 12:36 door Anoniem
Door Anoniem:
Door Anoniem: Waarom worden deze routers zo vaak gehacked? Er is meerdere malen posts over deze routers geplaats
Het zijn niet iedere keer nieuwe gehackte routers.
Degenen die gehacked zijn en waar de eigenaar niks aan doet die blijven steeds terugkomen in allerlei scenario's en
daar wordt dan steeds weer over geschreven. Het aantal zal in de loop der tijd langzaam afnemen maar er is altijd
een flink aantal gebruikers wat niks doet of niks in de gaten heeft.
Vergelijk het met de vele vele Windows PC's waar "ze binnen zijn" en het gaat om een relatief klein aantal. Maar de
"security onderzoekers" zijn daar nu wel zo'n beetje op uitgekeken, die gaan niet meer over ieder PC botnetje schrijven.

Is dit niet ook deels de verantwoordelijk van de ISP om dit te doen?
En in het geval van een persoonlijke router de router developer?
28-09-2018, 14:15 door Anoniem
Door Anoniem:
Is dit niet ook deels de verantwoordelijk van de ISP om dit te doen?
En in het geval van een persoonlijke router de router developer?

Merk op dat de problemen alleen optreden nadat men zelf aan de configuratie heeft zitten klungelen. De door de
fabrikant default geleverde configuratie is niet kwetsbaar, dan staan de configuratieservices namelijk niet bereikbaar
vanaf internet maar alleen vanaf je eigen lokale netwerk.

Echter, er zijn slechte adviezen te vinden over hoe je bepaalde dingen voor elkaar moet krijgen, in de vorm van Youtube
filmpjes die gemaakt zijn door prutsers. Die beginnen dan bijvoorbeeld met "wis eerst maar eens de hele config dan
hebben we een mooi beginpunt" maar dan is ook de firewall weg en die zetten ze nooit meer terug. DAT zijn dan
vervolgens de routers die kwetsbaar zijn bij bugs in de configuratie services (webfig, winbox, telnet, ssh).
De fabrikant heeft updates gemaakt om de bugs op te lossen (1.5 jaar geleden) en de nodige tips geplaatst over
hoe je de boel veilig kunt houden (password, firewall etc), maar die kopers die zo'n ding 2 jaar geleden gekocht hebben
en fout geconfigureerd die kun je natuurlijk nooit meer contacten. Het is gewoon een consumentenproduct wat je
overal kunt bestellen.

Had dat ding nou een backdoor gehad of een phone-home constructie waarmee de fabrikant bijvoorbeeld alle
kwetsbare of al gehackte routers een upgrade zou kunnen sturen dan kon je nog zeggen "de developer moet iets
doen" maar nu is dat dus niet mogelijk. Het is gewoon wachten tot de gebruikers wakker worden of de routers
defect raken. En dat kan (beiden) vele jaren duren, kijk maar naar bepaalde Windows wormen die 10 jaar later
nog actief zijn. Of het C&C systeem zou moeten worden ingezet om in ieder geval de nu actieve botnet members
te upgraden, echter daar wordt door bepaalde mensen altijd heel negatief op gereageerd.
28-09-2018, 15:25 door Tha Cleaner
Door Anoniem: Uiteraard merk je dit vrij snel op omdat de computer warm wordt, de fan draait sneller, de batterij is eerder leeg als je
daar mee werkt, en een CPU belasting indicator geeft dit ook aan. Hoe merkbaar het is hangt af van het type computer
maar meestal gaat het niet onopgemerkt voorbij.
Ga je er vanuit dat er een FAN in zit. En dat men dit merkt.... Vaak genoeg heeft men dit niet door. Of uitzetten en weer aanzetten (geen idee of dat het oplost), maar de router is nog steeds vatbaar voor de exploit.
01-10-2018, 17:11 door packetguy
Alweer? Gaat lekker met die microtik routers..
04-10-2018, 10:07 door Anoniem
Door packetguy: Alweer? Gaat lekker met die microtik routers..
Moeilijk hè, een Mikrotik configureren.

Dit kan je met elk stuk hardware/software overkomen die niet goed is ingesteld en daardoor services aan het internet blootstelt die voor lokaal gebruik bedoelt zijn. En inderdaad, Mikrotik is niet geschikt voor mensen die 'snel' een router/firewall willen installeren. Dat kost tijd en vergt kennis van security en Mikrotik.
Die mensen moeten een Netgear/Linksys etc. kopen (wat ook geen garanties biedt overigens).

https://nvd.nist.gov/vuln/detail/CVE-2018-14847

CVE-2018-14847 Detail
Winbox for MikroTik RouterOS through 6.42 allows remote attackers to bypass authentication and read arbitrary files by modifying a request to change one byte related to a Session ID.

en

Eigenaren van een MikroTik-router krijgen het advies om inkomend verkeer voor de Webfig- en Winbox-poorten voor het internet te blokkeren.
https://www.security.nl/posting/575748/Gehackte+MikroTik-routers+sturen+verkeer+door+naar+aanvallers

Als je jouw management tools voor de router direct openzet voor gebruik op internet, dan begrijp je het gewoon niet.
Er is niet voor niets een optie om de IP-range(s) te beperken tot het lokale LAN. En vervolgens kun je in de firewall ervoor zorgen dat winbox verkeer niet over de WAN poort naar buiten gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.