четвртак, 9. август 2018.

Ne ažurirani MikroTik ruteri se koriste za rudarenje


Sigurnosni istraživač Simon Kenin iz kompanije Trustwave je otkrio napad na MikroTik rutere, koji je hakerima omogućio da preuzmu kontrolu na više od 200.000 uređaja. Napad je prvobitno otkriven u Brazilu, a vidljivi su znaci i globalnog širenja zbog potencijalne dobiti koju bi mogli ostvariti hakeri. Naime, napad koristi  Coinhive skriptu koja se pokreće na nezaštićenom MikroTik ruteru i omogućava rudarenje kriptovaluta.




Kompanija MikroTik je bila upoznata sa ovom ranjivošću uređaja (CVE-2018-14847) u aprilu ove godine i u roku od jednog dana je izdala sigurnosno ažuriranje. Suština problema je u tome, što mnogi korisnici nisu ažurirali svoje uređaje, pa u prvom talasu napada broj zaraženih uređaja je oko 170.000 kako kaže  Simon Kenin, sigurnosni istraživač iz kompanije  Trustwave. U drugom talasu napada, sigurnosni istraživač Troy Mursch je otkrio da je zaraženo još oko 25.000 rutera, što u ukupnom zbiru daje broj od preko 200.000 zaraženih MikroTik rutera.



Napadač, koristeći navedenu ranjivost uređaja i preuzimanjem kontrole nad MikroTik ruterom, kreira proizvoljnu stranicu koja će se prikazati korisniku kao greška prilikom otvaranja stranice na internetu (error page). Kad korisnik dobije ovu stranicu, počinje rudarenje sa CoinHive skriptom. Tvorci ovog napada su se dodatno potrudili, pa postoji i druga skripta, gdje je dovoljno da se korisnik poveže na bežičnu konekciju na MikroTik ruteru i da rudarenje odmah počne. Kako bi osigurao kontrolu nad preuzetim MikroTik ruterom, napadač kreira novog korisnika na uređaju pod nazivom „ftu“. Sve ovo pokazuje da je napadač veoma dobro poznaje kako MikroTik ruteri funkcionišu.



Dodatna opasnost, pored rudarenja kriptovaluta, je što napadač ima potpunu kontrolu nad uređajem, što mu omogućava da pokrene DDoS napad, špijunira Internet saobraćaj korisnika, izvrši krađu lozinki, preusmjeri korisnike sa legitimnih stranica na posebno pripremljene stranice za krađu korisničkog imena i lozinke, izvrši napad na druge uređaje u lokalnoj mreži korisnika i sl. Kada se uzme u obzir činjenica da MikroTik rutere koriste Internet provajderi i druge organizacije koje opslužuju stotine hiljada korisnika na dnevnoj osnovi, dobija se jasna slika o ovom napadu. Posebno zabrinjava „nevidljivost“ napada koju napadači koriste. Činjenica da je sigurnosno ažuriranje objavljeno u aprilu ove godine, a da je broj zaraženih uređaja preko 200.000 i da i dalje raste, govori da ne samo obični korisnici, već IT administratori ne obraćaju puno pažnje na MikroTik rutere. Korisnici će, s obzirom na prethodna iskustva i događaje, čak jedno vrijeme vjerovatno pretpostaviti da su stranice koje posjećuju inficirane od strane hakera, prije nego što se uopšte posumnjaju u ruter, što omogućava napadaču da duže ostane ne otkriven.


KAKO SE ZAŠTITI:


1. Primijeniti sigurnosno ažuriranje za MikroTik rutere.

2. Ako koristite rutere neke druge kompanije, preventivno provjeriti da li postoji dostupno sigurnosno ažuriranje, kako bi se dodatno zaštitili.



INFEKCIJA UREĐAJA:



1. Ukoliko utvrdite ili sumnjate da vam je uređaj već zaražen, odmah primijenite sigurnosno ažuriranje za MikroTik rutere.

2. Iz preventivnih razloga izvršite promjenu pristupnih lozinki za sve relevantne resurse.  

3. Pokrenite detaljno anti-virusno skeniranje lokalnih i mrežnih uređaja.