RU EN

Mikrotik в рекордные сроки закрыл уязвимость нулевого дня

26.04.2018
Mikrotik в рекордные сроки закрыл уязвимость нулевого дня

Латвийский производитель сетевого оборудования MikroTik закрыл уязвимость нулевого дня в операционной системе своих маршрутизаторов — RouterOS.

Атаки на эту брешь первыми обнаружили пользователи чешского технологического форума. Они передали информацию о проблеме производителю, и менее чем через день компания выпустила патч безопасности. Уязвимость затронула версии RouterOS с 6.29 по 6.43rc3 включительно.

Используя специальную утилиту, злоумышленник подключался к Winbox-порту 8291, предназначенному для удаленного управления устройством. Брешь в защите позволяла взломщику извлечь базу данных пользователей. Дешифровав ее, он получал необходимые для входа в систему сведения.

Все выявленные атаки совершались по одному сценарию: после двух неудачных попыток злоумышленник успешно авторизовался, изменял настройки нескольких служб, выходил из системы и совершал повторный взлом через пару часов.

Специалист по безопасности из «Лаборатории Касперского» Костин Райю (Costin Raiu) написал в своем Твиттере, что в результате роутеры оказались заражены написанным на языке Lua вредоносным ПО. Аналитики Qihoo 360 Netlab отмечают также, что зловред может иметь отношение к IoT-ботнету Reaper.

Эксперты предполагают, что все это — дело рук преступника-одиночки, поскольку все запросы на авторизацию приходили с одного IP-адреса, расположенного на Тайване. Количество атак было очень невелико, поэтому трекеры активности SANS ISC и Quihoo 360 Netlab едва смогли их зарегистрировать.

Поскольку неизвестно, какие роутеры подверглись взлому, производитель рекомендует всем пользователям сменить пароль администратора. Помимо этого, владельцам маршрутизаторов следует использовать файрвол, чтобы оградиться от незащищенных сетей, изменить номер Winbox-порта или задать диапазон для выбора LAN и IP-адресов, с которых можно к нему обращаться.

Это уже не первая атака на сетевое оборудование MikroTik за последний месяц. В конце марта ботнет Hajime просканировал более 860 тыс. маршрутизаторов в поисках устройств с незакрытой уязвимостью Chimay Red. А в начале апреля около 10 тыс. зараженных зловредом IoTroop роутеров участвовало в DDoS-атакена крупнейшие голландские банки.

Источник: threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.