Jump to content

Тысячи устройств MikroTik используются операторами ботнетов в ходе атак


security147

Recommended Posts

Тысячи устройств MikroTik используются операторами ботнетов в ходе атак

10:36 / 10 Декабря, 2021 2021-12-10T11:36:46+03:00

Alexander Antipov

Устройства MikroTik активно используются для проведения DDoS-атак, командного управления, туннелирования трафика и пр.

https://www.securitylab.ru/upload/iblock/209/20941c5b23a9986ec4999a2c2ca93886.jpeg

Компания MikroTik является популярным поставщиком маршрутизаторов и беспроводных устройств для интернет-провайдеров, развернув по всему миру более 2 млн устройств. Однако, по словам экспертов из компании Eclypsium, многие из этих устройств содержат уязвимости и представляют собой удобную стартовую площадку для осуществления кибератак.

Устройства MikroTik стали фаворитом среди злоумышленников, которые использовали продукты компании для любых действий, включая DDoS-атаки, командное управление, туннелирование трафика и пр. С увеличением числа пользователей, работающих из дома, появилось много легко обнаруживаемых уязвимых устройств, которые могут предоставить преступникам доступ как к домашним устройствам сотрудников, так и к устройствам и ресурсам предприятия.

Хотя у злоумышленников есть инструменты для поиска уязвимых устройств MikroTik, у многих предприятий их нет. Даже обычный поисковый запрос Shodan не находит целые ряды устройств. Устройства MikroTik обладают соблазнительными характеристиками с точки зрения хакеров. Их много — по всему миру развернуто более 2 млн устройств, в том числе особенно мощные и многофункциональные устройства. Маршрутизаторы и беспроводные системы MikroTik регулярно используются местными интернет-провайдерами, и подобные мощности также могут быть привлекательными для киберпреступников.

Устройства MikroTik содержат уязвимости и часто поставляются со встроенными учетными данными администратора. Кроме того, функция автоматического обновления MikroTik редко включается, поэтому многие девайсы никогда не получают патчи. У них также невероятно сложный интерфейс настройки, из-за чего пользователи легко совершают ошибки. Все это приводит к ситуации, когда в интернете обнаруживаются тысячи уязвимых и EOL-устройств с истекшим сроком поддержки более десяти лет назад.

Ряд продуктов MikroTik содержат критические уязвимости, эксплуатируемые удаленно. Способность скомпрометированных маршрутизаторов внедрять вредоносный контент, туннелировать, копировать или перенаправлять трафик может использоваться множеством очень опасных способов. Отравление кэша DNS (или DNS-спуфинг) позволяет перенаправить подключение удаленного работника к вредоносному сайту. Злоумышленник может использовать хорошо известные методы и инструменты для потенциального хищения конфиденциальной информации, включая коды многофакторной аутентификации (MFA).

Основываясь на значимости этих устройств, специалисты хотели составить карту уязвимых в Сети устройств MikroTik. Они начали со сбора базовой информации, такой как версия устройства, конфигурация и другие характеристики. В ходе этого процесса им удалось найти около 20 тыс. устройств с открытым прокси-сервером и внедрением криптомайнинговых скриптов в web-страницы, которые посещал пользователь. Например, операторы вредоносного ПО Meris продолжают массово заражать устройства MikroTik.

По результатам поисковых запросов Shodan эксперты выявили примерно 300 тыс. IP-адресов, уязвимых как минимум для одного известного эксплоита. Больше всего уязвимых маршрутизаторов находится в Китае, Бразилии, России, Италии и Индонезии. США занимают 8-е место.

IT-отделам предприятий настоятельно рекомендуется предпринять шаги для выявления любых уязвимых или скомпрометированных устройств MikroTik в своей среде и предпринять соответствующие действия для снижения риска атак.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...