Δευτέρα, 3 Αυγούστου, 17:42
Αρχική security Επίθεση hacking σε χιλιάδες MikroTik Routers

Επίθεση hacking σε χιλιάδες MikroTik Routers

Έχουμε αναφερθεί ήδη στην εκτεταμένη κυβερνοεπίθεση πάνω από 200.000 δρομολογητών MikroTik από κακόβουλους χρήστες, χρησιμοποιώντας μια ευπάθεια που αποκαλύφθηκε στις διαρροές της CIA Vault 7.

Τώρα, οι Κινέζοι ερευνητές ασφάλειας του Qihoo 360 Netlab έχουν ανακαλύψει ότι από 370.000 δυνητικά ευάλωτους δρομολογητές MikroTik, έχουν καταστραφεί πάνω από 7.500 συσκευές για να επιτρέψουν στους κακόβουλους χρήστες να προωθήσουν το Socks4, επιτρέποντας στους επιτιθέμενους να παρακολουθούν ενεργά την κίνηση του δικτύου.

Η εν λόγω ευπάθεια, αφορά το  Winbox Any Directory File Read (CVE-2018-14847) σε δρομολογητές MikroTik και βρέθηκε να εκμεταλλεύεται το εργαλείο hacking της CIA Vault 7 που ονομάζεται Chimay Red, μαζί με την ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Webfig από την MikroTik.

Τόσο το Winbox όσο και το Webfig διαχειρίζονται RouterOS με τις αντίστοιχες θύρες επικοινωνίας τους όπως TCP / 8291, TCP / 80 και TCP / 8080. Το Winbox είναι σχεδιασμένο για χρήστες Windows που μπορούν εύκολα να διαμορφώσουν τους δρομολογητές που κατεβάζουν αρχεία DLL από το δρομολογητή και τα εκτελούν σε ένα σύστημα.

Σύμφωνα με τους ερευνητές, περισσότεροι από 370.000 δρομολογητές MikroTik εξακολουθούν να είναι ευάλωτοι στο CVE-2018-14847, ακόμη και μετά την έκδοση των σχετικών ενημερώσεων ασφαλείας για να καλυφθεί το κενό.

MikroTik

Οι ερευνητές της Netlab έχουν εντοπίσει κακόβουλο λογισμικό που εκμεταλλεύεται την ευπάθεια CVE-2018-14847 για την εκτέλεση διάφορων κακόβουλων ενεργειών, συμπεριλαμβανομένης της διοχέτευσης κώδικα εξόρυξης CoinHive, επιτρέποντας σιωπηρά το Socks4 proxy στους δρομολογητές και την κατασκοπεία στα θύματα.

CoinHive Mining Code Injection – Αφού ενεργοποιήσετε τον διακομιστή μεσολάβησης Mikrotik RouterOS HTTP, οι εισβολείς ανακατευθύνουν όλες τις αιτήσεις proxy HTTP σε μια τοπική σελίδα σφάλματος HTTP 403 που εισάγει έναν σύνδεσμο για τον κώδικα εξόρυξης ιστού από το Coinhive.

Maliciously Enabling Sock4 Proxy – Ενεργοποιώντας σιωπηρά τη θύρα Socks4 ή τη συσκευή TCP / 4153 στα συστήματα – θύματα επιτρέπει σε έναν εισβολέα να αποκτήσει τον έλεγχο ακόμα και μετά την επανεκκίνηση (αλλαγή IP) αναφέροντας περιοδικά την τελευταία διεύθυνση IP στη διεύθυνση URL του εισβολέα.

Eavesdropping on Victims – Δεδομένου ότι οι συσκευές MikroTik RouterOS επιτρέπουν στους χρήστες να συλλαμβάνουν πακέτα στο δρομολογητή και να τους προωθούν στον καθορισμένο διακομιστή Stream, οι επιτιθέμενοι προωθούν την κίνηση από συμβιβασμένους δρομολογητές σε διευθύνσεις IP που ελέγχονται από αυτούς.

Τα θύματα είναι διασκορπισμένα σε διάφορες χώρες όπως Ρωσία, Ιράν, Βραζιλία, Ινδία, Ουκρανία, Μπαγκλαντές, Ινδονησία, Ισημερινό, Ηνωμένες Πολιτείες, Αργεντινή, Κολομβία, Πολωνία, Κένυα, Ιράκ και ορισμένων ευρωπαϊκών και ασιατικών χωρών επιπλέον.

Η Netlab δεν μοιράστηκε τις διευθύνσεις IP των θυμάτων στο κοινό για λόγους ασφαλείας, αλλά δήλωσε ότι οι σχετικοί φορείς ασφαλείας στις πληγείσες χώρες μπορούν να επικοινωνήσουν με την εταιρεία για πλήρη λίστα των μολυσμένων διευθύνσεων IP.

Ο καλύτερος τρόπος για να προστατευθείτε είναι να patchάρετε την συσκευή σας. Οι χρήστες  RouterOS  της  MikroTik παροτρύνονται ιδιαίτερα να ενημερώσουν τις συσκευές τους και επίσης να ελέγξουν αν ο διακομιστής μεσολάβησης HTTP, ο διακομιστής μεσολάβησης Socks4 και η λειτουργία καταγραφής κίνησης δικτύου εκμεταλλεύονται κακόβουλα πακέτα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Cyble: προειδοποιεί για 199 παραβιάσεις δεδομένων

Πραγματοποιώντας την καθιερωμένη έρευνά της στα dark web και deep web, η Cyble εντόπισε 199 παραβιάσεις δεδομένων σε διάφορους ιστότοπους και εταιρείες....

H Cortana της Microsoft αποχαιρετά τα Android και iOS

Σε μια ανακοίνωση που δημοσιεύτηκε στις 31 Ιουλίου, η εταιρεία δήλωσε ότι θα αποσύρει την εικονική βοηθό Cortana από συσκευές iOS και...

2gether: Hacking επίθεση στην πλατφόρμα συναλλαγών κρυπτονομισμάτων

Η 2gether αποκάλυψε ότι δέχτηκε hacking επίθεση, κατά την οποία κλάπηκαν περίπου 1,2 εκατομμύρια Ευρώ σε κρυπτονομίσματα από επενδυτικούς λογαριασμούς σε κρυπτονομίσματα....

Google: 11 ευπάθειες zero day εντοπίστηκαν το πρώτο εξάμηνο του 2020

Όπως αναφέρει η ομάδα Project Zero της Google, εντοπίστηκαν 11 ευπάθειες zero day, οι οποίες εκμεταλλεύονταν από κακόβουλους παράγοντες, μέσα στο πρώτο...

Linux Kernel 5.8: Κυκλοφόρησε με αμέτρητες βελτιώσεις και αλλαγές

Πρόσφατα, ο Linus Torvalds ανακοίνωσε την κυκλοφορία του Linux kernel 5.8. Σύμφωνα με αυτόν, το νέο kernel...

Μολδαβός δήλωσε την ενοχή του για τη δημιουργία του FastPOS malware!

Ένας 30χρονος άνδρας από τη Μολδαβία ομολόγησε την ενοχή του για τη δημιουργία του FastPOS malware που μολύνει τα συστήματα POS παγκοσμίως....

YouTube: Έκλεισε Crypto channel για ενθάρρυνση παράνομων ενεργειών

Το YouTube επανέφερε το Crypto channel, αφότου είχε τεθεί εκτός σύνδεσης για πάνω από 2 μέρες, λόγω «ενθάρρυνσης για παράνομες ενέργειες».

Συνελήφθη στη Λευκορωσία διανομέας του GandCrab ransomware

Όπως ανακοίνωσε σε ένα δελτίο τύπου ο Υπουργός Εσωτερικών της Λευκορωσίας, την προηγούμενη εβδομάδα συνελήφθη ένας 31χρονος άνδρας με την κατηγορία της...

Τρία άτομα κατηγορούνται από τις ΗΠΑ για το Twitter Hack

Όπως ανακοινώθηκε την Παρασκευή, τρία άτομα έχουν κατηγορηθεί από εισαγγελείς των ΗΠΑ, ότι συμμετείχαν στην παραβίαση λογαριασμών διασημοτήτων στο Twitter και εξαπάτηση...

Havenly: Αποκαλύπτει data breach μετά από την διαρροή λογαριασμών!

Η Havenly, μία εταιρεία με έδρα τις ΗΠΑ, η οποία προτείνει ιδέες για την διακόσμηση εσωτερικών χώρων, αποκάλυψε ότι υπέστη data breach,...