OVHcloud meldt ddos-aanvallen door botnet van MikroTik-corerouters
Aanvallers maken gebruik van gecompromitteerde MikroTik-corerouters voor het uitvoeren van ddos-aanvallen, zo laat cloudbedrijf OVHcloud weten. Volgens het bedrijf is het de eerste keer dat er bewijs is gevonden dat dergelijke apparaten bij deze aanvallen worden ingezet. Het gaat hier niet om routers voor eindgebruikers, maar 'core network devices' die veel dataverkeer kunnen verwerken en over veel bandbreedte beschikken.
In april kreeg OVHcloud met een ddos-aanval van 840 Mpps (million packets per second) te maken. Onderzoek naar de aanval wees uit dat er gebruik was gemaakt van MikroTik Cloud Core Routers (CCR). De onderzoekers besloten ook naar eerdere aanvallen tegen OVHcloud te kijken en ontdekten dat daarbij zeker zevenhonderd gecompromitteerde MikroTik-corerouters waren ingezet. Hoe de apparaten zijn gecompromitteerd kunnen de onderzoekers niet zeggen.
Wel vonden ze bijna honderdduizend van dergelijke apparaten waarvan het beheerderspaneel vanaf het internet benaderbaar is. Iets wat het aanvalsoppervlak vergroot en volgens de onderzoekers een teken van slechte beheerpraktijken is. Naast de hoeveelheid aanvalsverkeer die via een gecompromitteerde corerouter is te genereren worden deze apparaten vaak ook niet op ddos-aanvallen gemonitord, aldus de onderzoekers. "Dit is de eerste keer dat we te maken hebben gekregen met core devices die aan gecoördineerde ddos-aanvallen meedoen", zo stellen de onderzoekers verder. Die zeggen MikroTik te hebben ingelicht, maar ontvingen nog geen reactie.
Als je router de beheer interfaces naar internet open heeft staan (welk merk het ook is) dan weet je als beheerder duidelijk niet waar je mee bezig bent.
En er zijn zat features in MikroTik routers om dit te voorkomen.
Gezien het feit dat "het maken van veel verkeer" gewoon een van de standaard functionaliteiten van deze routers is (bandwidth test) is het helemaal niet nodig dat de router gecompromitteerd is met een rootkit of whatever, het is voldoende als het wachtwoord van de admin geraden is.
MikroTik hierover benaderen en een concrete reactie of zelfs tegenmaatregelen verwachten heeft dan ook niet zo veel zin.
Er is geen functie in MikroTik routers om updates te pushen vanuit de leverancier dus je zult toch echt de beheerder moeten aanspreken, niet de leverancier.
Ga jij maar eens een netwerk met zoveel klanten runnen, wat een onzin. Je bent de rechter niet.
Oh ja, 'hij keek verkeerd dus ik tiefte 'm in elkaar' argument.
Als je router de beheer interfaces naar internet open heeft staan (welk merk het ook is) dan weet je als beheerder duidelijk niet waar je mee bezig bent.
En er zijn zat features in MikroTik routers om dit te voorkomen.
Gezien het feit dat "het maken van veel verkeer" gewoon een van de standaard functionaliteiten van deze routers is
(bandwidth test) is het helemaal niet nodig dat de router gecompromitteerd is met een rootkit of whatever, het is voldoende als het wachtwoord van de admin geraden is.
MikroTik hierover benaderen en een concrete reactie of zelfs tegenmaatregelen verwachten heeft dan ook niet zo veel zin.
Er is geen functie in MikroTik routers om updates te pushen vanuit de leverancier dus je zult toch echt de beheerder moeten aanspreken, niet de leverancier.
"de default config heeft alles dicht" zou nogal schelen - ik ken MikroTik te weinig om te weten wat hun stijl is, maar ze zijn jong genoeg dat "we wisten niet beter toen we de eerste versie maakten en nu moeten we compatible blijven" geen valide excuus is.
"de default config heeft alles dicht" zou nogal schelen - ik ken MikroTik te weinig om te weten wat hun stijl is, maar ze zijn jong genoeg dat "we wisten niet beter toen we de eerste versie maakten en nu moeten we compatible blijven" geen valide excuus is.
Echter de CCR modellen daar zit geen default config op (dus ook geen firewall).
Als je een core router koopt wordt je geacht dat soort dingen zelf goed in orde te maken.
Wat dat betreft dus niks anders dan Cisco, Juniper etc.
"de default config heeft alles dicht" zou nogal schelen - ik ken MikroTik te weinig om te weten wat hun stijl is, maar ze zijn jong genoeg dat "we wisten niet beter toen we de eerste versie maakten en nu moeten we compatible blijven" geen valide excuus is.
Echter de CCR modellen daar zit geen default config op (dus ook geen firewall).
Als je een core router koopt wordt je geacht dat soort dingen zelf goed in orde te maken.
Wat dat betreft dus niks anders dan Cisco, Juniper etc.
Dat "wordt geacht" is helaas dus niet de realiteit.
Zelfde als 'servers' , die "worden ook geacht" door pro's gebruikt te worden , maar alle huidige defaults (disabled services, forceer solide wachtwoord etc) zijn ook in de loop van de tijd , en door schade en schande , de huidige default geworden.
Ook Cisco is gaande IOS'en naar veiliger defaults gegaan. De meuk die je allemaal dicht/uit moest zetten in oude (11.x,12.x) IOS was echt belachelijk.
Cisco had destijds het excuus dat men niet beter wist - en zat daarna met het probleem dat een enorme (enterprise) installed base de bestaande (open/enabled) defaults verwachtte en er eventueel van afhankelijk was.
IOS' gedrag van 'onzichtbare' defaults in de config waarin alleen de niet-default zichtbaar wordt helpt ook niet mee.
Want de klant verwacht (niet onterecht) dat de bestaande config laden op een nieuwer IOS 'gewoon hetzelfde' werkt - en dan staat een 'default enabled' service niet expliciet zichtbaar aan.
Ook een core router vendor zou kunnen (/moeten) kiezen voor een model waarin de config, setup wizard etc heel sterk stuurt naar een erg afgeschermd management plane .
Zij staan nu op: [urlhttps://mikrotik.com/supportsec[/url] en je kunt ze ook krijgen via RSS
Laat onverlet dat er enorm veel routers etc. van Mikrotik aan het internet zitten die niet bij gewerkt zijn met actuele software en met niet veilige instellingen.
Zelfde als 'servers' , die "worden ook geacht" door pro's gebruikt te worden , maar alle huidige defaults (disabled services, forceer solide wachtwoord etc) zijn ook in de loop van de tijd , en door schade en schande , de huidige default geworden.
Geloof me, ook pro's vergeten dit wel eens. Zeker als het een nieuw product is. Advies: kladblokje en puntenlijstje waar dit soort zaken standaard op staan.
Laat onverlet dat er enorm veel routers etc. van Mikrotik aan het internet zitten die niet bij gewerkt zijn met actuele software en met niet veilige instellingen.
Als de fabrikant het niet aanbiedt dan is het "de sofware op veel van die routers is niet bijgewerkt".
Dus wat moet het nou worden?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
