neprihlásený Utorok, 23. júla 2019, dnes má meniny Oľga   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Útok infikuje MikroTik routery, následne PC ťažia kryptomenu

Značky: bezpečnosťrouterykryptomeny

DSL.sk, 3.8.2018


Bezpečnostní experti identifikovali v uplynulých dňoch pomerne rozsiahly útok na routery značky MikroTik, ktoré sú používané často pokročilými používateľmi, firmami a poskytovateľmi pripojenia a ktoré zrejme ovplyvnili veľké množstvo užívateľov.

Útok detekovala, analyzovala a popísala bezpečnostná spoločnosť Trustwave.

Podľa jej zistení je realizovaný cez zraniteľnosť v službe Winbox, službe počúvajúcej na porte 8291 a určenej pre vzdialenú konfiguráciu MikroTik routerov. Zraniteľnosť umožňuje získať súbor s informáciami o účtoch a následne sa dostať na zariadenie, identifikovaná bola v apríli.

MikroTik patrí k výrobcom routerov, ktorí na rozdiel od viacerých výrobcov WiFi routerov pre domácich užívateľov dbajú na bezpečnosť, a aktualizácia bola k dispozícii promptne do jedného dňa. Množstvo zariadení je ale evidentne neaktualizovaných.

Útok respektíve útočníci následne uskutočňujú na napadnutom MikroTik routeri zmeny, po ktorých v čase analýzy spoločnosťou Trustwave do vracaných webových chybových stránok router vkladal skript pre ťaženie kryptomeny Monero pomocou služby CoinHive. Prehliadače užívateľov za takýmto routerom tak následne po zobrazení týchto stránok začnú zaťažovať CPU počítača a využívať ich na ťaženie kryptomeny.

Útok vkladanie dosahuje cez chybovú stránku proxy servera, ktorý na napadnutých zariadeniach aktivuje a zrejme posiela cez neho transparentne všetku webovú prevádzku.

Pôvodne router podľa expertov na základe sťažností užívateľov zrejme vkladal skript do všetkých stránok. Hypotézou expertov je, že od tohto správania upustil keďže bolo príliš nápadné.

Celkovo bolo podľa informácií Trustwave zo stredy infikovaných viac ako 170 tisíc routerov. Keďže tieto sú často používané vo firmách a poskytovateľmi pripojenia, ovplyvnených bolo a je zrejme výrazne viac užívateľov. Navyše za týmito routermi sú niekedy web servery, na ktoré pristupujú ľubovoľní užívatelia z Internetu, a stránky na týchto serveroch sú rovnako modifikované.

Riešením pre užívateľov je udržiavať svoj MikroTik router a jeho RouterOS systém aktualizovaný. Pre routery MikroTik je k dispozícii aj operačný systém OpenWrt, ktorý tento týždeň vyšiel v novej hlavnej verzii 18.06. OpenWrt má vďaka vydávaniu aktualizácií bezpečnostné prednosti oproti firmvéru mnohých domácich WiFi routerov so slabou úrovňou bezpečnosti, MikroTik je ale v inej pozícii ako takéto routery.


      Zdieľaj na Twitteri



Najnovšie články:

Fedora zvažuje kontroverzný až nezmyselný krok, koniec podpory mnohých 64-bitových CPU
Štát ide zverejňovať zdrojové kódy svojich IT systémov
India úspešne odštartovala na Mesiac
Trailery pre viaceré sci-fi seriály
Firefox zvažuje pridanie Toru ako rozšírenia
EÚ mierne zmenila pravidlá .eu, občanom EÚ v Británii ich nezoberie
Indovia sa pokúsia pristáť na Mesiaci, po posune štartujú zajtra
Ľudstvo dnes oslavuje 50 rokov od pristátia na Mesiaci
Výrobcovia podporujú PCI Express 4.0 na existujúcich doskách, aj keď je AMD proti
Sci-fi seriál Agents of S.H.I.E.L.D. zrušený


Diskusia:
                               
 

Uz od aprila aktualizovane.. Ale od kedy bolo par stranok na kt.bol coinhive, tak na kazdom mikrotiku nasadeny script pre block coinhive... Cez layer7
Nasledna navsteva danej stranky na ktorej je coinhive script vykazuje 0% zataze.. Ziadne tazenie sa nekonaaaa


Odpovedať Známka: 2.5 Hodnotiť:
 

Hladal som v nastaveniach , no nenasiel som taku moznost, aby bolo mozne zadat len 3 alebo 5x zle heslo a zablokuje pristup. Ma vobec nejaky router take nastavenie ?
Odpovedať Hodnotiť:
 

kto neupdatuje nic dobreho si nezasluzi
Odpovedať Známka: 0.0 Hodnotiť:
 

Ale keď mi to išlo dobre na starej verzii :(
Odpovedať Známka: 10.0 Hodnotiť:
 

Áno. Treba updatovať. Hlavne drony od DJI... :D
Odpovedať Známka: 8.7 Hodnotiť:
 

^ Našiel som niekoho, kto nebeží W10.
Odpovedať Hodnotiť:
 

Administrator, ktory necha winbox pusteny do internetu, by si zasluzil poriadne po prstoch ...

... ja spravujem cca 17 mikrotikov a prvu vec co vzdy spravim pri instalacii, je vypnutie vsetkeho okrem ssh/https. Nasledne potom ide admin rozhranie do mgmt vlany. Jedna vec je chyba v samotnom winboxe a druha ak moze utocnik skusat "prihlasovat sa". Ziadny software nie je 100%, ale mikrotik je jeden z tych produktov, o ktory ked sa admin nalezite stara, tak prinasa poriadu pridanu hodnotu, za nie tak velku cenu.
Odpovedať Známka: 5.4 Hodnotiť:
 

Ja mam tiez Winboxy pustene do netu akurat je tam firewallom urcene ktory subnet sa moze pripojit (MGMT), a je tam uplne iny port, SSH mam vypnute.
Odpovedať Známka: 10.0 Hodnotiť:
 

tak potom to do internetu "pustenie" nie je ... samozrejme som myslel konfiguraciu, ked sa vie prihlasit ktokolvek odkialkolvek. Veci, ktore z nejakeho dovodu musia byt dostupne z vonku (ssh na server), mam tiez zalimitovane na rozhsahy, odkial sa bezne pripajam. Osobne si myslim, ze to je najucinnejsia ochrana ...
Odpovedať Známka: 10.0 Hodnotiť:
 

Nikto s IQ hojdacieho koníka to nemá otvorené do sveta. Ale stačí, aby sa ti do siete dostalo jedno hacknuté zariadenie a môže z vnútra ďalej realizovať útok.
Odpovedať Hodnotiť:
 

wtf, hovoris ze mikrotik routre maju defaultne spustene nejake remote access and ine sluzby?
Odpovedať Známka: 3.3 Hodnotiť:
 

na mojom tiku, co nemam z lan strany nic a len loguje aktivity z wan (honeypot) mam cez FW zaplatene porty nejakym dobrodincom, co zanechal odkaz, ze sa mu da podakovat cez WebMoney, alebo BTC a po infekcii asi len 2 nepodstatne stopy.
Odpovedať Známka: -3.3 Hodnotiť:
 

neodporucal niekto pri teme OpenWrt prave tieto mikroInfikovaneTiky xD
Odpovedať Známka: -10.0 Hodnotiť:
 

Tieto mikroinfikovaneTiky maju zranitelnost, ktora sa v clanku spomina, uz od Aprila opravenu. S neaktualizovanym SW je zranitelne vsetko.
Odpovedať Známka: 1.4 Hodnotiť:
 

Áno, napríklad aj ja
Odpovedať Hodnotiť:
 

ach jo ak si ktokoľvek myslí že nainštaluje openwrt a nebude aj ten updatovať a je v bezpečí tak sa sakramentský mýli 100% bezpečný softvér ,firmware neexistuje je však rozhodujúce ako rýchlo vychádzajú update v tomto smere je mikrotik na špici a keby všetky firmy boli ako mikrotik je to super napr iPhone nerobí bezpečným len ios ale hlavne rýchla oprava bezpečnostných chýb ako tu už viacerý písalí uvedená zraniteľnosť je opravená od apríla čiže pre všetkých aj tých to čo majú openwrt platí že treba systém updatovať

Odpovedať Hodnotiť:
 

uBlock Origin a nejaky anti miner script :)
Odpovedať Známka: 0.0 Hodnotiť:
 

ako dlho musí prevádzkvoateľ stránky uchovaváť informácie o mojej ip adrese.
Odpovedať Známka: -3.3 Hodnotiť:
 

nie
Odpovedať Známka: 6.4 Hodnotiť:

Pridať komentár