Η MikroTik, η εταιρεία κατασκευής εξοπλισμού δικτύου, έδωσε μερικές συμβουλές για το πώς μπορούν οι πελάτες να προστατεύσουν τα routers που επηρεάστηκαν από το τεράστιο Mēris DDoS botnet κατά τη διάρκεια του καλοκαιριού.
Δείτε επίσης: Το botnet Meris επιτίθεται στον ιστότοπο KrebsOnSecurity
“Απ’ ό,τι είδαμε, αυτές οι επιθέσεις χρησιμοποιούν τα ίδια routers που παραβιάστηκαν το 2018, όταν το MikroTik RouterOS είχε μια ευπάθεια, η οποία διορθώθηκε γρήγορα“, δήλωσε εκπρόσωπος της MikroTik στο BleepingComputer.
Ωστόσο, η εταιρεία προειδοποίησε ότι η διόρθωση της ευπάθειας δεν σημαίνει απαραίτητα ότι όλα τα routers είναι ασφαλή. Εάν κάποιος πήρε τον κωδικό πρόσβασης των χρηστών το 2018, η ενημέρωση δεν βοηθά.
Οι χρήστες πρέπει να αλλάξουν κωδικό πρόσβασης, να ελέγξουν το firewall τους ώστε να βεβαιωθούν ότι δεν επιτρέπει απομακρυσμένη πρόσβαση σε τρίτους και να ελέγξουν αν υπάρχουν scripts που δεν έχουν δημιουργήσει οι ίδιοι.
Mēris botnet
Το botnet Mēris ήταν υπεύθυνο για δύο τεράστιες επιθέσεις DdoS, που έλαβαν χώρα πριν λίγο καιρό.
Δείτε επίσης: Νέα Ζηλανδία: Ταχυδρομείο και τράπεζες επηρεάστηκαν από DDoS επίθεση
Η πρώτη επίθεση που μετριάστηκε από την Cloudflare τον Αύγουστο, έφτασε τα 17,2 εκατομμύρια request ανά δευτερόλεπτο (RPS). Η δεύτερη ξεπέρασε κάθε όριο φτάνοντας τα 21,8 εκατομμύρια RPS, επηρεάζοντας τους servers της Yandex, νωρίτερα αυτόν τον μήνα.
Σύμφωνα με τους ερευνητές της Qrator Labs, το Mēris botnet, που προέρχεται από τον κώδικα του Mirai malware, ελέγχει τώρα περίπου 250.000 συσκευές, οι περισσότερες εκ των οποίων είναι MikroTik network gateways και routers.
Πώς να προστατεύσετε τα MikroTik routers;
Η MikroTik προτείνει στους πελάτες να επιλέξουν ισχυρούς κωδικούς πρόσβασης που θα μπορούν να προστατεύσουν τις συσκευές από brute-force επιθέσεις. Επιπλέον, οι συσκευές θα πρέπει να είναι ενημερωμένες, ώστε να μην είναι δυνατή η εκμετάλλευση ευπαθειών που χρησιμοποιούνται από το botnet Mēris.
Δείτε επίσης: DDoS επιθέσεις: Οι καλύτερες πρακτικές για πρόληψη/αντιμετώπιση
Η εταιρεία συνέστησε στους χρήστες να ακολουθήσουν τα παρακάτω βήματα, προκειμένου να παραμείνουν ασφαλείς:
- Ενημερώστε τακτικά τις συσκευές MikroTik (routers κλπ).
- Μην αφήνετε οποιονδήποτε να έχει πρόσβαση στη συσκευή σας μέσω διαδικτύου. Εάν χρειάζεστε απομακρυσμένη πρόσβαση, ανοίξτε μόνο μια ασφαλή υπηρεσία VPN.
- Χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης. Αν έχετε ήδη ένα ισχυρό κωδικό, αλλά πιστεύετε ότι η συσκευή σας βρίσκεται σε κίνδυνο, αλλάξτε τον!
- Μην θεωρείτε το τοπικό σας δίκτυο αξιόπιστο. Το κακόβουλο λογισμικό μπορεί να επιχειρήσει να συνδεθεί στο MikroTik router σας, εάν έχετε αδύναμο κωδικό πρόσβασης ή αν δεν χρησιμοποιείτε κωδικό.
- Ελέγξτε τη διαμόρφωση του RouterOS για άγνωστες ρυθμίσεις.
Οι ρυθμίσεις που μπορεί να ορίσει το κακόβουλο λογισμικό Mēris κατά την επαναδιαμόρφωση των παραβιασμένων routers MikroTik περιλαμβάνουν:
- Σύστημα -> Scheduler rules που εκτελούν ένα Fetch script. Αφαιρέστε τα.
- IP -> Socks proxy. Εάν δεν χρησιμοποιείτε αυτήν τη λειτουργία ή δεν γνωρίζετε τι κάνει, πρέπει να την απενεργοποιήσετε.
- L2TP client με όνομα “lvpn” ή L2TP client που δεν αναγνωρίζετε.
- Input firewall rule που επιτρέπει πρόσβαση στη θύρα 5678.
Η MikroTik είπε ότι προσπάθησε να επικοινωνήσει με όλους τους χρήστες του RouterOS για να τους ενημερώσει για το ζήτημα ασφαλείας, αλλά πολλοί από αυτούς δεν ανταποκρίθηκαν και δεν ελέγχουν τις συσκευές τους. Η εταιρεία είπε ότι προσπαθεί να βρει και άλλες λύσεις.
“Από όσο γνωρίζουμε αυτήν τη στιγμή, δεν υπάρχουν νέες ευπάθειες σε αυτές τις συσκευές“, είπε η εταιρεία.
Πηγή: Bleeping Computer