Περίπου 300.000 routers MikroTik είναι ευάλωτα σε κρίσιμα τρωτά σημεία που μπορούν να εκμεταλλευτούν τα malware botnets για cryptomining και επιθέσεις DDoS.
Δείτε επίσης: Ransomware και botnets οι κορυφαίες κυβερνοαπειλές στη Σιγκαπούρη
Η MikroTik είναι μια εταιρεία με έδρα την Λετονία που κατασκευάζει routers και ασύρματα ISPs η οποία έχει πουλήσει πάνω από 2.000.000 συσκευές παγκοσμίως.
Τον Αύγουστο, το botnet Mēris εκμεταλλεύτηκε ευπάθειες στα routers MikroTik για να δημιουργήσει έναν στρατό συσκευών που πραγματοποίησαν μια επίθεση-ρεκόρ DDoS στη Yandex. Η MikroTik εξήγησε ότι οι απειλητικοί παράγοντες πίσω από την επίθεση εκμεταλλεύτηκαν ευπάθειες που επιδιορθώθηκαν το 2018 και το 2019, αλλά οι χρήστες δεν εφάρμοσαν.
Οι ερευνητές ανακάλυψαν ότι πάρα πολλά routers παραμένουν ευάλωτα σε τρία κρίσιμα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα που μπορούν να οδηγήσουν σε πλήρη ανάληψη της συσκευής.
Όπως φαίνεται σε μια έκθεση που δημοσίευσε σήμερα η Eclypsium, η κατάσταση παραμένει εξαιρετικά προβληματική.
Ερευνητές από την Eclypsium σάρωναν το διαδίκτυο για συσκευές MikroTik που εξακολουθούν να είναι ευάλωτες στα ακόλουθα τέσσερα CVE:
- CVE-2019-3977: Υποβάθμιση απομακρυσμένου λειτουργικού συστήματος και επαναφορά συστήματος. CVSS v3 – 7.5
- CVE-2019-3978: Απομακρυσμένο poisoning κρυφής μνήμης χωρίς έλεγχο ταυτοποίησης. CVSS v3 – 7.5
- CVE-2018-14847: Απομακρυσμένη αυθαίρετη πρόσβαση και εγγραφή αρχείων. CVSS v3 – 9.1
- CVE-2018-7445: Buffer overflow που επιτρέπει την απομακρυσμένη πρόσβαση και την εκτέλεση κώδικα. CVSS v3 – 9.8
Οι συσκευές πρέπει να εκτελούν RouterOS έκδοση 6.45.6 ή παλαιότερη για να είναι κατάλληλες για exploitation και να έχουν το πρωτόκολλο WinBox τους εκτεθειμένο στο Διαδίκτυο.
Δείτε επίσης: Το Moobot botnet εξαπλώνεται μέσω ευπάθειας στις κάμερες Hikvision
Μετά τη σάρωση του Διαδικτύου, η Eclypsium βρήκε περίπου 300.000 διευθύνσεις IP από routers MikroTik που πληρούν τα παραπάνω κριτήρια και είναι ευάλωτες σε τουλάχιστον ένα από τα τρωτά σημεία που αναφέρονται παραπάνω.
Αυτές οι συσκευές έχουν σημαντικό horsepower, καθιστώντας τις δελεαστικούς στόχους για cryptomining και επιθέσεις distributed denial-of-service.
Δείτε επίσης: Η Google λαμβάνει μέτρα για να “σταματήσει” το botnet Glupteba
Οι περισσότερες από τις συσκευές που ανακαλύφθηκαν βρίσκονται στην Κίνα, τη Βραζιλία, τη Ρωσία και την Ιταλία, ενώ και οι Ηνωμένες Πολιτείες διαθέτουν σημαντικό αριθμό εκμεταλλεύσιμων συσκευών.
Είναι ενδιαφέρον ότι οι ερευνητές ανακάλυψαν ότι οι coin-miners είχαν μολύνει περίπου 20.000 από αυτές τις συσκευές, με περίπου τις μισές από αυτές να προσπαθούν να συνδεθούν στο πλέον εκτός σύνδεσης CoinHive.
Πηγή πληροφοριών: bleepingcomputer.com
