MĒRIS BOTNET -- Hunderttausende MikroTik-Router sind seit 2018 angreifbar!

Ein auf die Geräte spezialisiertes Botnetz hat in den vergangenen Monaten großangelegte Angriffe auf Cloudflare und Yandex zu verantworten. (Quelle: Heise)


MĒRIS BOTNET

15th Sep, 2021 | Security (MikroTik)

Anfang September 2021 veröffentlichte QRATOR Labs einen Artikel über eine neue Welle von DDoS-Angriffen, die von einem Botnetz mit MikroTik-Geräten ausgehen.

Die DDoS-Attacken gegen Cloudflare und Yandex hatten lächerliche 17 Millionen Verbindungen pro Sekunde abgeschickt…!!

Soweit wir gesehen haben, nutzen diese Angriffe dieselben Router, die 2018 kompromittiert wurden, als MikroTik RouterOS eine Sicherheitslücke hatte, die schnell gepatcht wurde.

Leider schützt das Schließen der Sicherheitslücke diese Router nicht sofort. Wenn jemand im Jahr 2018 an Ihr Passwort gelangt ist, hilft ein Upgrade allein nicht weiter. Sie müssen auch Ihr Passwort ändern, Ihre Firewall erneut überprüfen, wenn sie den Fernzugriff für Unbekannte nicht zulässt, und nach Skripten suchen, die Sie nicht erstellt haben.

Wir haben versucht, alle Nutzer von RouterOS darüber zu informieren, aber viele von ihnen hatten noch nie Kontakt mit MikroTik und überwachen ihre Geräte nicht aktiv. Wir arbeiten auch an anderen Lösungen.

Soweit wir im Moment wissen, gibt es keine neuen Schwachstellen in diesen Geräten. Das RouterOS wurde vor kurzem von mehreren Auftragnehmern unabhängig geprüft.

Die beste Vorgehensweise:

Halten Sie Ihr MikroTik-Gerät durch regelmäßige Upgrades auf dem neuesten Stand.
Öffnen Sie den Internetzugang zu Ihrem Gerät nicht für jedermann. Wenn Sie einen Fernzugriff benötigen, öffnen Sie nur einen sicheren VPN-Dienst, wie IPsec.
Verwenden Sie ein sicheres Passwort, und selbst wenn Sie es verwenden, ändern Sie es sofort!
Gehen Sie nicht davon aus, dass Ihr lokales Netzwerk vertrauenswürdig ist. Malware kann versuchen, eine Verbindung zu Ihrem Router herzustellen, wenn Sie ein schwaches oder gar kein Kennwort haben.
Untersuchen Sie Ihre RouterOS-Konfiguration auf unbekannte Einstellungen (siehe unten).
In Zusammenarbeit mit unabhängigen Sicherheitsforschern haben wir festgestellt, dass es Malware gibt, die versucht, Ihr MikroTik-Gerät von einem Windows-Computer in Ihrem Netzwerk aus neu zu konfigurieren. Deshalb ist es wichtig, jetzt ein besseres Passwort zu setzen (um passwortlose Anmeldung oder einen Wörterbuchangriff durch diese Malware zu vermeiden) und Ihren MikroTik-Router auf dem neuesten Stand zu halten (da diese Malware auch versucht, die erwähnte Sicherheitslücke CVE-2018-14847 auszunutzen, die längst behoben wurde).

Konfiguration, auf die Sie achten und die Sie entfernen sollten:

System → Scheduler-Regeln, die ein Fetch-Skript ausführen. Entfernen Sie diese.
IP → Socks-Proxy. Wenn Sie diese Funktion nicht verwenden oder nicht wissen, was sie bewirkt, muss sie deaktiviert werden.
L2TP-Client namens „lvpn“ oder jeder L2TP-Client, den Sie nicht kennen.
Geben Sie eine Firewall-Regel ein, die den Zugriff auf den Port 5678 erlaubt.

CVE-2018-14847 WINBOX VULNERABILITY

25th Mar, 2018 | Security (MikroTik)

Dieser Beitrag fasst die Winbox-Server-Schwachstelle in RouterOS zusammen, die am 23. April 2018 in RouterOS entdeckt und behoben wurde. Beachten Sie, dass, obwohl Winbox als Angriffspunkt verwendet wurde, die Schwachstelle in RouterOS lag. Dieses Problem wurde später mit der universellen Kennung CVE-2018-14847 versehen.

Wie es funktioniert: Die Sicherheitsanfälligkeit ermöglichte es einem speziellen Tool, sich mit dem Winbox-Port zu verbinden und die Systembenutzerdatenbankdatei anzufordern.

Betroffene Versionen:

Betroffen waren alle Bugfix-Versionen von 6.30.1 bis 6.40.7, behoben in 6.40.8 am 23.04.2018
Betroffen sind alle aktuellen Versionen von 6.29 bis 6.42, behoben in 6.42.1 am 23.04.2018
Betroffen sind alle RC-Releases von 6.29rc1 bis 6.43rc3, behoben in 6.43rc4 am 23.04.2018
Bin ich betroffen? Derzeit gibt es keine sichere Methode, um festzustellen, ob Sie betroffen sind. Wenn Ihr Winbox-Port für nicht vertrauenswürdige Netzwerke offen ist, gehen Sie davon aus, dass Sie betroffen sind, und aktualisieren Sie + ändern Sie das Passwort + fügen Sie eine Firewall gemäß unseren Richtlinien hinzu. Vergewissern Sie sich, dass Sie das Passwort nach einem Upgrade ändern. Das Protokoll kann einen erfolglosen Anmeldeversuch anzeigen, gefolgt von einem erfolgreichen Anmeldeversuch von einer unbekannten IP-Adresse.

Was ist zu tun?

  1. Aktualisieren Sie Winbox und RouterOS

  2. Ändern Sie Ihre Passwörter.

  3. Schotten Sie den Winbox-Port von der öffentlichen Schnittstelle und von nicht vertrauenswürdigen Netzwerken ab. Am besten ist es, wenn Sie nur bekannten IP-Adressen erlauben, sich mit Ihrem Router zu verbinden, und zwar nicht nur mit Winbox, sondern mit allen Diensten. Wir empfehlen, dies zur gängigen Praxis zu machen. Eine Alternative, die möglicherweise einfacher ist, ist die Verwendung des Menüs „IP → Dienste“ zur Angabe der „Erlaubt von“-Adressen. Geben Sie dabei Ihr LAN und die öffentliche IP-Adresse an, von der aus Sie auf das Gerät zugreifen werden.

  4. Verwenden Sie den Befehl „Exportieren“, um Ihre gesamte Konfiguration zu sehen und auf Anomalien zu prüfen, wie z. B. unbekannte SOCKS-Proxy-Einstellungen und Skripte.

Weitere Infos (aus verläßlicher Quelle / nicht MikroTik!!):

https://gigazine.net/gsc_news/en/20210910-meris-botnet/

https://blog.qrator.net/en/meris-botnet-climbing-to-the-record_142/