Symantec Security Day 2018: Ελάτε να συζητήσουμε σύγχρονα θέματα της κυβερνοασφάλειας!
infosec

Symantec Security Day 2018: Ελάτε να συζητήσουμε σύγχρονα θέματα της κυβερνοασφάλειας!

Σας προσκαλούμε στο Symantec Security Day 2018 όπου θα αναπτυχθούν τα θέματα της κυβερνοασφάλειας, μέσα από την πρακτική προσέγγιση αλλά και αντιμετώπιση των σημερινών κυβερνοαπειλών. Στην ημερίδα αυτή θα εστιάσουμε στις τάσεις της αγοράς και τον ρόλο της κυβερνοασφάλειας στον ψηφιακό...
Read More
infosec

Play Store: Κακόβουλες εφαρμογές με περισσότερες από 500.000 εγκαταστάσεις

Πολλές νέες εφαρμογές χωρίς κάποια λειτουργικότητα έχουν τρυπώσει στο Google Play Store τον τελευταίο καιρό, και έχουν πετύχει περισσότερες από...
Read More
infosec

Instagram: Το εργαλείο λήψης δεδομένων διέρρευσε κωδικούς χρηστών

Φαίνεται ότι η αδυναμία του Facebook να διασφαλίσει τα δεδομένα των χρηστών έχει μεταβιβαστεί και στις θυγατρικές του εταιρείες. Το...
Read More
infosec

Firmware update της Microsoft προκαλεί σφάλμα σε πολλά Surface μοντέλα!

Ένα νέο σφάλμα πλήττει τα Surface της Microsoft, καθώς πρόσφατο firmware update προκαλεί ανακριβής παρουσίαση της διάρκειας ζωής της μπαταρίας...
Read More
infosec

Κυκλοφόρησε ενημέρωση που διορθώνει ευπάθεια σε δημοφιλές plugin του WordPress

Ένας ερευνητής ασφάλειας αποκάλυψε λεπτομέρειες για μια κρίσιμη ευπάθεια σε ένα από τα δημοφιλή και ευρέως ενεργά plugins για το...
Read More
Latest Posts

Επίθεση hacking σε χιλιάδες MikroTik Routers

Έχουμε αναφερθεί ήδη στην εκτεταμένη κυβερνοεπίθεση πάνω από 200.000 δρομολογητών MikroTik από κακόβουλους χρήστες, χρησιμοποιώντας μια ευπάθεια που αποκαλύφθηκε στις διαρροές της CIA Vault 7.

Τώρα, οι Κινέζοι ερευνητές ασφάλειας του Qihoo 360 Netlab έχουν ανακαλύψει ότι από 370.000 δυνητικά ευάλωτους δρομολογητές MikroTik, έχουν καταστραφεί πάνω από 7.500 συσκευές για να επιτρέψουν στους κακόβουλους χρήστες να προωθήσουν το Socks4, επιτρέποντας στους επιτιθέμενους να παρακολουθούν ενεργά την κίνηση του δικτύου.

Η εν λόγω ευπάθεια, αφορά το  Winbox Any Directory File Read (CVE-2018-14847) σε δρομολογητές MikroTik και βρέθηκε να εκμεταλλεύεται το εργαλείο hacking της CIA Vault 7 που ονομάζεται Chimay Red, μαζί με την ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Webfig από την MikroTik.

Τόσο το Winbox όσο και το Webfig διαχειρίζονται RouterOS με τις αντίστοιχες θύρες επικοινωνίας τους όπως TCP / 8291, TCP / 80 και TCP / 8080. Το Winbox είναι σχεδιασμένο για χρήστες Windows που μπορούν εύκολα να διαμορφώσουν τους δρομολογητές που κατεβάζουν αρχεία DLL από το δρομολογητή και τα εκτελούν σε ένα σύστημα.

Σύμφωνα με τους ερευνητές, περισσότεροι από 370.000 δρομολογητές MikroTik εξακολουθούν να είναι ευάλωτοι στο CVE-2018-14847, ακόμη και μετά την έκδοση των σχετικών ενημερώσεων ασφαλείας για να καλυφθεί το κενό.

MikroTik

Οι ερευνητές της Netlab έχουν εντοπίσει κακόβουλο λογισμικό που εκμεταλλεύεται την ευπάθεια CVE-2018-14847 για την εκτέλεση διάφορων κακόβουλων ενεργειών, συμπεριλαμβανομένης της διοχέτευσης κώδικα εξόρυξης CoinHive, επιτρέποντας σιωπηρά το Socks4 proxy στους δρομολογητές και την κατασκοπεία στα θύματα.

CoinHive Mining Code Injection – Αφού ενεργοποιήσετε τον διακομιστή μεσολάβησης Mikrotik RouterOS HTTP, οι εισβολείς ανακατευθύνουν όλες τις αιτήσεις proxy HTTP σε μια τοπική σελίδα σφάλματος HTTP 403 που εισάγει έναν σύνδεσμο για τον κώδικα εξόρυξης ιστού από το Coinhive.

Maliciously Enabling Sock4 Proxy – Ενεργοποιώντας σιωπηρά τη θύρα Socks4 ή τη συσκευή TCP / 4153 στα συστήματα – θύματα επιτρέπει σε έναν εισβολέα να αποκτήσει τον έλεγχο ακόμα και μετά την επανεκκίνηση (αλλαγή IP) αναφέροντας περιοδικά την τελευταία διεύθυνση IP στη διεύθυνση URL του εισβολέα.

Eavesdropping on Victims – Δεδομένου ότι οι συσκευές MikroTik RouterOS επιτρέπουν στους χρήστες να συλλαμβάνουν πακέτα στο δρομολογητή και να τους προωθούν στον καθορισμένο διακομιστή Stream, οι επιτιθέμενοι προωθούν την κίνηση από συμβιβασμένους δρομολογητές σε διευθύνσεις IP που ελέγχονται από αυτούς.

Τα θύματα είναι διασκορπισμένα σε διάφορες χώρες όπως Ρωσία, Ιράν, Βραζιλία, Ινδία, Ουκρανία, Μπαγκλαντές, Ινδονησία, Ισημερινό, Ηνωμένες Πολιτείες, Αργεντινή, Κολομβία, Πολωνία, Κένυα, Ιράκ και ορισμένων ευρωπαϊκών και ασιατικών χωρών επιπλέον.

Η Netlab δεν μοιράστηκε τις διευθύνσεις IP των θυμάτων στο κοινό για λόγους ασφαλείας, αλλά δήλωσε ότι οι σχετικοί φορείς ασφαλείας στις πληγείσες χώρες μπορούν να επικοινωνήσουν με την εταιρεία για πλήρη λίστα των μολυσμένων διευθύνσεων IP.

Ο καλύτερος τρόπος για να προστατευθείτε είναι να patchάρετε την συσκευή σας. Οι χρήστες  RouterOS  της  MikroTik παροτρύνονται ιδιαίτερα να ενημερώσουν τις συσκευές τους και επίσης να ελέγξουν αν ο διακομιστής μεσολάβησης HTTP, ο διακομιστής μεσολάβησης Socks4 και η λειτουργία καταγραφής κίνησης δικτύου εκμεταλλεύονται κακόβουλα πακέτα.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *