image

MikroTik waarschuwt router-eigenaren voor Meris-botnet

donderdag 16 september 2021, 09:06 door Redactie, 4 reacties

Routerfabrikant MikroTik waarschuwt router-eigenaren voor een botnet dat gecompromitteerde routers inzet voor het uitvoeren van ddos-aanvallen. Volgens securitybedrijf Qrator bestaat het Meris-botnet, dat mede werd gebruikt voor een grootschalige aanval tegen het Russische internetbedrijf Yandex, mogelijk uit 200.000 besmette routers.

MikroTik stelt dat deze routers al in 2018 door middel van een beveiligingslek zijn gecompromitteerd. De routerfabrikant bracht een beveiligingsupdate voor de kwetsbaarheid uit die de aanvallers destijds gebruikten. "Het dichten van de kwetsbaarheid beschermt deze routers niet direct. Als iemand je wachtwoord in 2018 heeft bemachtigd zal een upgrade niet helpen. Je moet ook je wachtwoord wijzigen en je firewall controleren dat die geen remote toegang aan onbekende partijen geeft, en kijk naar de aanwezigheid van scripts die je niet hebt gemaakt", aldus MikroTik in de waarschuwing.

De routerfabrikant zegt dat het alle gebruikers van RouterOS, het besturingssysteem van de routers, heeft geprobeerd te benaderen. Met veel van deze gebruikers is echter nooit contact geweest en deze partijen monitoren ook niet hun routers, aldus MikroTik. Dat zegt ook aan andere oplossingen te werken. Voor zover bekend maakt het botnet geen gebruik van nieuwe kwetsbaarheden voor het compromitteren van MikroTik-routers.

Reacties (4)
16-09-2021, 10:24 door Anoniem
De gemiddelde andere router-leverancier zou niet tweemaal dezelfde oude koe uit de sloot halen.
Het lijkt wel marketing. Maargoed, waarschuwen kan geen kwaad.
16-09-2021, 11:50 door Briolet
MikroTik stelt dat deze routers al in 2018 door middel van een beveiligingslek zijn gecompromitteerd.

Hier zijn ook de ISP's mede schuldig. De eigenaren van deze besmette routers hadden al lang off-line gezet moeten worden.

Op de Ziggo fora lees ik regelmatig dat ziggo klanten van het internet afsluit omdat er kwaadaardige acties vanaf hun IP uitgevoerd worden. Zo hoort het, want dan weten mensen dat er iets fout zit bij hen en dwing je ze om dit op te lossen.
16-09-2021, 15:26 door Anoniem
Door Anoniem: De gemiddelde andere router-leverancier zou niet tweemaal dezelfde oude koe uit de sloot halen.
Het lijkt wel marketing. Maargoed, waarschuwen kan geen kwaad.
Het gaat hier niet over het uit de sloot halen van een oude koe, maar om het waarschuwen voor een probleem wat
nu speelt, een nieuw tot leven gekomen botnet, wat gebruikmaakt van een in 2018 gefixte kwetsbaarheid.
Net zoals bij kwetsbaarheden in operating systems komt het helaas vaak voor dat gebruikers nooit de updates installeren,
en daarnaast is het in dit geval ook nog eens zo dat alleen het installeren van de update niet genoeg is als je DAARVOOR
al besmet bent. Dus een waarschuwing is wel op zijn plaats.
(alleen is het uiteraard een feit dat deze waarschuwing de betrokken slachtoffers nooit gaat bereiken)
16-09-2021, 15:29 door Anoniem
Door Briolet:
Op de Ziggo fora lees ik regelmatig dat ziggo klanten van het internet afsluit omdat er kwaadaardige acties vanaf hun IP uitgevoerd worden. Zo hoort het, want dan weten mensen dat er iets fout zit bij hen en dwing je ze om dit op te lossen.

Ja in Nederland wel. Maar heel veel van deze routers zijn verkocht in landen waar men zo actief niet is.
Net als met BCP 38 (source adres filtering). Dat is in Nederland ook wel aardig op orde maar in veel andere landen niet.
En daar hebben wij dan weinig aan want het gaat niet om hoe goed je het ZELF lokaal voor elkaar hebt, maar om hoe
de anderen voor elkaar hebben. Die bepalen hoeveel last jij ondervindt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.