Nova opasnost za korisnike MikroTik rutera

Više hiljada MikroTik rutera hakovano kako bi se špijunirao saobraćaj u mreži.

Nova opasnost za korisnike MikroTik rutera

Nedavno smo pisali o infekciji 200.000 MikroTik rutera koji su korišćeni za rudarenje kripto valuta. Sada je otkriveno da postoji 370.000 potencijalno ranjivih MikroTik tutera, od kojih je 7.500 kompromitovano tako što je tajno i maliciozno omogućen Socks4 proxy, što je napadačima omogućilo da prate saobraćaj u ciljanim mrežama od sredine jula.

U pitanju je Winbox Any Directory File Read ranjivost (CVE-2018-14847) u MikroTik ruterima koju je moguće eksploatisati pomoću Chimay Red (CIA alat za hakovanje). Takođe, postoji još jedna ranjivost – MikroTik Webfig ranjivost u daljinskom izvršavanju koda. I Winbox i Webfig su komponente RouterOS menadžmenta sa odgovarajućim portovima za komunikaciju - TCP/8291, TCP/80 i TCP/8080. Winbox pomaže Windows korisnicima da jednostavno konfigurišu ruter. On downloaduje DDL fajlove sa rutera i izvršava ih u sistemu.

Kod više od 370.000 od ukupno 1.2 miliona MikroTik rutera i dalje je moguće eksploatisati ovu ranjivost, bez obzira na to što je vendor izbacio bezbednosne zakrpe.

Istraživači su otkrili da malver koji eksploatiše CVE-2018-14847 ranjivost obavlja različite maliciozne aktivnosti – ubacuje CoinHive kod za rudarenje kripto valuta, tajno omogućava Socks4 proxy na ruterima i špijunira svoje žrtve.

Ubacivanje Coinhive koda

Nakon omogućavanja HTTP proxyja na MikroTik RouterOS, napadači preusmeravaju sve HTTP proxy zahteve ka lokalnoj HTTP 403 error stranici koja ubacuje link za Coinhive kod koji služi za rudarenje kripto valuta. Na taj način, napadači se nadaju da će obaviti rudarenje za sav proxy saobraćaj na uređajima korisnika. Nažalost po njih, ovaj kod ne funkcioniše na ovaj način zato što su svi eksterni web resursi, uključujući i one sa coinhive.com koji su neophodni za rudarenje, blokirani proxy ACL-om koji su sami napadači podesili.

Tajno (maliciozno) omogućavanje Socks4 proxy na ruterima

Ukoliko se tajno omogući Socks4 proxy odnosno TCP/4153 na uređajima žrtve, napadači mogu da kontrolišu uređaj čak i kada se uradi reboot (promeni IP adresa) tako što se periodično šalje najnovija IP adresa na URL napadača. Do sada je potvrđeno da je Socks4 proxy tajno omogućen za 239.000 IP adresa, što napadačima omogućava da kontinuirano skeniraju odnosno traže nove kompromitovane MikroTik uređaje.

Špijuniranje žrtava

Pošto MiktoTik RouterOS uređaji dozvoljavaju korisnicima snimanje paketa na ruteru i slanje ka željenom Stream serveru, napadači šalju saobraćaj sa kompromitovanih rutera ka IP adresama koje su pod njihovom kontrolom.

Najveći broj žrtava dolazi iz Rusije, a među pogođenim zemljama tu su još Iran, Brazil, Indija, Ukrajina, Bangladeš, Indonezija, Ekvador, SAD, Argentina, Kolumbija, Poljska, Kenija, Irak, kao i neke evropske i azijske zemlje.

Najbolji način da se zaštitite je da primenite bezbednosna ažuriranja. Korisnicima MikroTik rutera se preporučuje da, pored ažuriranja, provere da li neko eksploatiše HTTP proxy, Socks4 proxy i funkciju snimanja saobraćaja.

Izvor: The Hacker News