-
30/08/2016
-
319
-
448 bài viết
Hơn 300.000 thiết bị MikroTik dính lỗi chiếm quyền điều khiển từ xa
Ít nhất 300.000 địa chỉ IP liên kết với thiết bị MikroTik đã bị phát hiện có thể bị tấn công bởi nhiều lỗ hổng an ninhh có thể khai thác từ xa đã mặc dù đã được nhà cung cấp bộ định tuyến và thiết bị ISP phát hành bản vá.
Công ty an ninh mạng Eclypsium cho biết trong một báo cáo được chia sẻ với The Hacker News, các thiết bị bị ảnh hưởng nhiều nhất nằm ở Trung Quốc, Brazil, Nga, Ý, Indonesia, với Mỹ đứng ở vị trí thứ 8.
Các nhà nghiên cứu lưu ý: “Những thiết bị càng cấu hình cao, thường rất dễ bị tấn công. "Điều này đã làm cho thiết bị MikroTik trở thành một thiết bị được yêu thích của kẻ xấu, hacker huy động thiết bị cho các cuộc DDoS, C2C server, tạo các tunnel, và nhiều thứ khác".
Các thiết bị MikroTik trở thành mục tiêu hấp dẫn không kém vì có hơn hai triệu thiết bị được triển khai trên toàn thế giới, tạo ra nhiều cuộc tấn công ở layer 7 từ đó trở thành tác nhân cho các cuộc tấn công.
Vào đầu tháng 9 , các báo cáo về một mạng botnet mới có tên Mēris đã tổ chức một cuộc tấn công từ chối dịch vụ (DDoS) kỷ lục, chống lại công ty internet Yandex của Nga bằng cách sử dụng các thiết bị mạng từ Mikrotik làm vectơ tấn công bằng cách khai thác một- khai thác lỗ hổng bảo mật trong hệ điều hành (CVE-2018-14847).
Dưới đây là danh sách bốn lỗ hổng được phát hiện trong ba năm qua và có thể cho phép tiếp quản hoàn toàn các thiết bị MikroTik:
Các nhà nghiên cứu cho biết: “Khả năng các bộ định tuyến bị xâm nhập đưa nội dung độc hại, tunnel , sao chép hoặc định tuyến lại lưu lượng truy cập có thể được sử dụng theo nhiều cách có tính sát thương cao”. " DNS poisoning có thể chuyển hướng kết nối của nhân viên từ xa đến một trang web độc hại hoặc trỏ sang một máy trung gian".
"Kẻ tấn công có thể sử dụng các kỹ thuật và công cụ phổ biến để có khả năng nắm bắt thông tin nhạy cảm, chẳng hạn như đánh cắp thông tin đăng nhập MFA từ người dùng từ xa bằng cách sử dụng SMS qua WiFi. Cũng như các cuộc tấn công trước đây, lưu lượng truy cập của doanh nghiệp có thể được đào tới một vị trí khác hoặc nội dung độc hại được đưa vào lưu lượng truy cập hợp lệ", các nhà nghiên cứu chia sẻ.
Bộ định tuyến MikroTik không phải là thiết bị duy nhất được chọn vào mạng botnet. Các nhà nghiên cứu từ Fortinet trong tuần này đã tiết lộ cách mạng botnet Moobot tận dụng lỗ hổng thực thi mã từ xa (RCE) đã biết trong các sản phẩm giám sát video Hikvision (CVE-2021-36260) để phát triển mạng của mình và sử dụng các thiết bị bị xâm nhập để khởi chạy từ các cuộc tấn công từ chối dịch vụ (DDoS).
Các nhà nghiên cứu lưu ý: “Những thiết bị càng cấu hình cao, thường rất dễ bị tấn công. "Điều này đã làm cho thiết bị MikroTik trở thành một thiết bị được yêu thích của kẻ xấu, hacker huy động thiết bị cho các cuộc DDoS, C2C server, tạo các tunnel, và nhiều thứ khác".
Các thiết bị MikroTik trở thành mục tiêu hấp dẫn không kém vì có hơn hai triệu thiết bị được triển khai trên toàn thế giới, tạo ra nhiều cuộc tấn công ở layer 7 từ đó trở thành tác nhân cho các cuộc tấn công.
Vào đầu tháng 9 , các báo cáo về một mạng botnet mới có tên Mēris đã tổ chức một cuộc tấn công từ chối dịch vụ (DDoS) kỷ lục, chống lại công ty internet Yandex của Nga bằng cách sử dụng các thiết bị mạng từ Mikrotik làm vectơ tấn công bằng cách khai thác một- khai thác lỗ hổng bảo mật trong hệ điều hành (CVE-2018-14847).
- CVE-2019-3977 (CVSS score: 7.5) -MikroTik RouterOS không xác thực đủ nguồn gốc của gói nâng cấp, cho phép đặt lại tất cả tên người dùng và mật khẩu
- CVE-2019-3978 (CVSS score: 7.5) - MikroTik RouterOS insufficient protections of a critical resource, leading to cache poisoning
- CVE-2018-14847 (CVSS score: 9.1) - MikroTik RouterOS không đủ bảo vệ tài nguyên quan trọng, dẫn đến nhiễm độc bộ nhớ cache
- CVE-2018-7445 (CVSS score: 9.8) - Lỗ hổng tràn bộ đệm MikroTik RouterOS SMB
Các nhà nghiên cứu cho biết: “Khả năng các bộ định tuyến bị xâm nhập đưa nội dung độc hại, tunnel , sao chép hoặc định tuyến lại lưu lượng truy cập có thể được sử dụng theo nhiều cách có tính sát thương cao”. " DNS poisoning có thể chuyển hướng kết nối của nhân viên từ xa đến một trang web độc hại hoặc trỏ sang một máy trung gian".
Bộ định tuyến MikroTik không phải là thiết bị duy nhất được chọn vào mạng botnet. Các nhà nghiên cứu từ Fortinet trong tuần này đã tiết lộ cách mạng botnet Moobot tận dụng lỗ hổng thực thi mã từ xa (RCE) đã biết trong các sản phẩm giám sát video Hikvision (CVE-2021-36260) để phát triển mạng của mình và sử dụng các thiết bị bị xâm nhập để khởi chạy từ các cuộc tấn công từ chối dịch vụ (DDoS).
Theo TheHackerNew
Chỉnh sửa lần cuối bởi người điều hành: