15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
Latest Posts

Επίθεση hacking σε χιλιάδες MikroTik Routers

Έχουμε αναφερθεί ήδη στην εκτεταμένη κυβερνοεπίθεση πάνω από 200.000 δρομολογητών MikroTik από κακόβουλους χρήστες, χρησιμοποιώντας μια ευπάθεια που αποκαλύφθηκε στις διαρροές της CIA Vault 7.

Τώρα, οι Κινέζοι ερευνητές ασφάλειας του Qihoo 360 Netlab έχουν ανακαλύψει ότι από 370.000 δυνητικά ευάλωτους δρομολογητές MikroTik, έχουν καταστραφεί πάνω από 7.500 συσκευές για να επιτρέψουν στους κακόβουλους χρήστες να προωθήσουν το Socks4, επιτρέποντας στους επιτιθέμενους να παρακολουθούν ενεργά την κίνηση του δικτύου.

Η εν λόγω ευπάθεια, αφορά το  Winbox Any Directory File Read (CVE-2018-14847) σε δρομολογητές MikroTik και βρέθηκε να εκμεταλλεύεται το εργαλείο hacking της CIA Vault 7 που ονομάζεται Chimay Red, μαζί με την ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Webfig από την MikroTik.

Τόσο το Winbox όσο και το Webfig διαχειρίζονται RouterOS με τις αντίστοιχες θύρες επικοινωνίας τους όπως TCP / 8291, TCP / 80 και TCP / 8080. Το Winbox είναι σχεδιασμένο για χρήστες Windows που μπορούν εύκολα να διαμορφώσουν τους δρομολογητές που κατεβάζουν αρχεία DLL από το δρομολογητή και τα εκτελούν σε ένα σύστημα.

Σύμφωνα με τους ερευνητές, περισσότεροι από 370.000 δρομολογητές MikroTik εξακολουθούν να είναι ευάλωτοι στο CVE-2018-14847, ακόμη και μετά την έκδοση των σχετικών ενημερώσεων ασφαλείας για να καλυφθεί το κενό.

MikroTik

Οι ερευνητές της Netlab έχουν εντοπίσει κακόβουλο λογισμικό που εκμεταλλεύεται την ευπάθεια CVE-2018-14847 για την εκτέλεση διάφορων κακόβουλων ενεργειών, συμπεριλαμβανομένης της διοχέτευσης κώδικα εξόρυξης CoinHive, επιτρέποντας σιωπηρά το Socks4 proxy στους δρομολογητές και την κατασκοπεία στα θύματα.

CoinHive Mining Code Injection – Αφού ενεργοποιήσετε τον διακομιστή μεσολάβησης Mikrotik RouterOS HTTP, οι εισβολείς ανακατευθύνουν όλες τις αιτήσεις proxy HTTP σε μια τοπική σελίδα σφάλματος HTTP 403 που εισάγει έναν σύνδεσμο για τον κώδικα εξόρυξης ιστού από το Coinhive.

Maliciously Enabling Sock4 Proxy – Ενεργοποιώντας σιωπηρά τη θύρα Socks4 ή τη συσκευή TCP / 4153 στα συστήματα – θύματα επιτρέπει σε έναν εισβολέα να αποκτήσει τον έλεγχο ακόμα και μετά την επανεκκίνηση (αλλαγή IP) αναφέροντας περιοδικά την τελευταία διεύθυνση IP στη διεύθυνση URL του εισβολέα.

Eavesdropping on Victims – Δεδομένου ότι οι συσκευές MikroTik RouterOS επιτρέπουν στους χρήστες να συλλαμβάνουν πακέτα στο δρομολογητή και να τους προωθούν στον καθορισμένο διακομιστή Stream, οι επιτιθέμενοι προωθούν την κίνηση από συμβιβασμένους δρομολογητές σε διευθύνσεις IP που ελέγχονται από αυτούς.

Τα θύματα είναι διασκορπισμένα σε διάφορες χώρες όπως Ρωσία, Ιράν, Βραζιλία, Ινδία, Ουκρανία, Μπαγκλαντές, Ινδονησία, Ισημερινό, Ηνωμένες Πολιτείες, Αργεντινή, Κολομβία, Πολωνία, Κένυα, Ιράκ και ορισμένων ευρωπαϊκών και ασιατικών χωρών επιπλέον.

Η Netlab δεν μοιράστηκε τις διευθύνσεις IP των θυμάτων στο κοινό για λόγους ασφαλείας, αλλά δήλωσε ότι οι σχετικοί φορείς ασφαλείας στις πληγείσες χώρες μπορούν να επικοινωνήσουν με την εταιρεία για πλήρη λίστα των μολυσμένων διευθύνσεων IP.

Ο καλύτερος τρόπος για να προστατευθείτε είναι να patchάρετε την συσκευή σας. Οι χρήστες  RouterOS  της  MikroTik παροτρύνονται ιδιαίτερα να ενημερώσουν τις συσκευές τους και επίσης να ελέγξουν αν ο διακομιστής μεσολάβησης HTTP, ο διακομιστής μεσολάβησης Socks4 και η λειτουργία καταγραφής κίνησης δικτύου εκμεταλλεύονται κακόβουλα πακέτα.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *