Скомпрометированы тысячи роутеров MikroTik

Компания 360 Netlab сообщает о компрометации примерно 7500 роутеров MikroTik. Значительная часть скомпрометированных роутеров - около 1600 - установлена на территории России. В результате взлома злоумышленники могли получить доступ к данным, передаваемым через корпоративные сети.

При атаке использовалась обнаруженная в мае 2018 года уязвимость CVE-2018-14847. Уязвимость была исправлена примерно месяц назад, но далеко не все пользователи установили исправление. Баг в управляющем компоненте Winbox открывает доступ к произвольным файлам на самом устройстве и позволяет отслеживать проходящий через роутеры трафик без аутентификации.

По данным Netlab, у 5 миллионов устройств по всему миру открыт TCP-порт 8291, применяемый для эксплуатации уязвимости. Около 370 тысяч из этого количества принадлежат устройствам MicroTik. Ещё одним признаком компрометации может служить открытый Socks4-proxy.

Кроме подслушивания трафика, злоумышленники устанавливали на скомпрометированные системы майнеры криптовалюты.

Компания 360 Netlab рекомендует закрыть доступ к управляющим интерфейсам роутеров MikroTik из интернета, установить обновления и проверить, не стали ли роутеры мишенью для атаки.


Возврат к списку