Έχουμε αναφερθεί ήδη στην εκτεταμένη κυβερνοεπίθεση πάνω από 200.000 δρομολογητών MikroTik από κακόβουλους χρήστες, χρησιμοποιώντας μια ευπάθεια που αποκαλύφθηκε στις διαρροές της CIA Vault 7.
Τώρα, οι Κινέζοι ερευνητές ασφάλειας του Qihoo 360 Netlab έχουν ανακαλύψει ότι από 370.000 δυνητικά ευάλωτους δρομολογητές MikroTik, έχουν καταστραφεί πάνω από 7.500 συσκευές για να επιτρέψουν στους κακόβουλους χρήστες να προωθήσουν το Socks4, επιτρέποντας στους επιτιθέμενους να παρακολουθούν ενεργά την κίνηση του δικτύου.
Η εν λόγω ευπάθεια, αφορά το Winbox Any Directory File Read (CVE-2018-14847) σε δρομολογητές MikroTik και βρέθηκε να εκμεταλλεύεται το εργαλείο hacking της CIA Vault 7 που ονομάζεται Chimay Red, μαζί με την ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Webfig από την MikroTik.
Τόσο το Winbox όσο και το Webfig διαχειρίζονται RouterOS με τις αντίστοιχες θύρες επικοινωνίας τους όπως TCP / 8291, TCP / 80 και TCP / 8080. Το Winbox είναι σχεδιασμένο για χρήστες Windows που μπορούν εύκολα να διαμορφώσουν τους δρομολογητές που κατεβάζουν αρχεία DLL από το δρομολογητή και τα εκτελούν σε ένα σύστημα.
Σύμφωνα με τους ερευνητές, περισσότεροι από 370.000 δρομολογητές MikroTik εξακολουθούν να είναι ευάλωτοι στο CVE-2018-14847, ακόμη και μετά την έκδοση των σχετικών ενημερώσεων ασφαλείας για να καλυφθεί το κενό.
Οι ερευνητές της Netlab έχουν εντοπίσει κακόβουλο λογισμικό που εκμεταλλεύεται την ευπάθεια CVE-2018-14847 για την εκτέλεση διάφορων κακόβουλων ενεργειών, συμπεριλαμβανομένης της διοχέτευσης κώδικα εξόρυξης CoinHive, επιτρέποντας σιωπηρά το Socks4 proxy στους δρομολογητές και την κατασκοπεία στα θύματα.
CoinHive Mining Code Injection – Αφού ενεργοποιήσετε τον διακομιστή μεσολάβησης Mikrotik RouterOS HTTP, οι εισβολείς ανακατευθύνουν όλες τις αιτήσεις proxy HTTP σε μια τοπική σελίδα σφάλματος HTTP 403 που εισάγει έναν σύνδεσμο για τον κώδικα εξόρυξης ιστού από το Coinhive.
Maliciously Enabling Sock4 Proxy – Ενεργοποιώντας σιωπηρά τη θύρα Socks4 ή τη συσκευή TCP / 4153 στα συστήματα – θύματα επιτρέπει σε έναν εισβολέα να αποκτήσει τον έλεγχο ακόμα και μετά την επανεκκίνηση (αλλαγή IP) αναφέροντας περιοδικά την τελευταία διεύθυνση IP στη διεύθυνση URL του εισβολέα.
Eavesdropping on Victims – Δεδομένου ότι οι συσκευές MikroTik RouterOS επιτρέπουν στους χρήστες να συλλαμβάνουν πακέτα στο δρομολογητή και να τους προωθούν στον καθορισμένο διακομιστή Stream, οι επιτιθέμενοι προωθούν την κίνηση από συμβιβασμένους δρομολογητές σε διευθύνσεις IP που ελέγχονται από αυτούς.
Τα θύματα είναι διασκορπισμένα σε διάφορες χώρες όπως Ρωσία, Ιράν, Βραζιλία, Ινδία, Ουκρανία, Μπαγκλαντές, Ινδονησία, Ισημερινό, Ηνωμένες Πολιτείες, Αργεντινή, Κολομβία, Πολωνία, Κένυα, Ιράκ και ορισμένων ευρωπαϊκών και ασιατικών χωρών επιπλέον.
Η Netlab δεν μοιράστηκε τις διευθύνσεις IP των θυμάτων στο κοινό για λόγους ασφαλείας, αλλά δήλωσε ότι οι σχετικοί φορείς ασφαλείας στις πληγείσες χώρες μπορούν να επικοινωνήσουν με την εταιρεία για πλήρη λίστα των μολυσμένων διευθύνσεων IP.
Ο καλύτερος τρόπος για να προστατευθείτε είναι να patchάρετε την συσκευή σας. Οι χρήστες RouterOS της MikroTik παροτρύνονται ιδιαίτερα να ενημερώσουν τις συσκευές τους και επίσης να ελέγξουν αν ο διακομιστής μεσολάβησης HTTP, ο διακομιστής μεσολάβησης Socks4 και η λειτουργία καταγραφής κίνησης δικτύου εκμεταλλεύονται κακόβουλα πακέτα.
