Springe zum Inhalt

Tausende MikroTik Router gehackt um Netzwerkverbindungen abzuhören

Letzten Monat haben wir über eine weit verbreitete Cryptomining Kampagne berichtet, die über 200.000 MikroTik Router gehackt hat, indem eine zuvor veröffentlichte Schwachstelle in CIA Vault7 Lecks genutzt wurde.

Chinesische Sicherheitsforscher im Qihoo 360 Netlab fanden nun heraus, dass von 370.000 möglicherweise angreifbaren MikroTik Routern über 7.500 Geräte gefährdet wurden um schädliche Socks4 Proxy zu aktivieren, die Angreifern seit Mitte Juli erlauben, die anvisierten Netzwerke aktiv abzuhören.

Die besagte Schwachstelle ist Winbox Any Directory File Read (CVE-2018-14847) in MikroTik Routern, die von dem CIA Vault 7 Hacking-Instrument Chimay Red ausgenutzt wurde, zusammen mit anderen MikroTik Webfig Remotecodeausführungs-Schwachstellen.

Sowohl Winbox als auch Webfig sind Bestandteile der RouterOS Verwaltung mit ihren entsprechenden Kommunikationsanschlüssen TCP/8291, TCP/80 und TCP8080. Winbox wurde für Windows Nutzer entwickelt um einfach die Router zu konfigurieren, die DLL Files herunterladen und auf dem System ausführen.

Laut Wissenschaftlern sind über 370.000 von 1,2 Millionen MikroTik noch immer anfällig für den CVE-2018-14847 Exploit, sogar nachdem der Anbieter Sicherheitsupdates bereitgestellt hat um diese Lücke zu schließen.

Netlab Forscher haben Malware identifiziert, die die CVE-2018-14847 Schwachstelle nutzt, um verschiedene, schädliche Aktivitäten auszuführen, einschließlich CoinHive Mining Code Injektion, die unbemerkt Socks4 Proxy auf Routern aktiviert und Opfer ausspioniert.

CoinHive Mining Code Injektion – Nachdem die MikroTik RouterOS HTTP Proxy aktiviert sind, leiten die Angreifer alle HTTP Proxy Anfragen zu einer lokalen HTTP 403 Fehler Seite um, welche einen Link für einen Webmining Code von CoinHive einfügt.

„Die Angreifer erhoffen sich dadurch Webmining für den gesamten Proxyverkehr auf den Geräten des Nutzers auszuführen“, erklärten die Forscher.

„Was für den Angreifer jedoch enttäuschend ist, ist, dass der Mining Code so nicht funktioniert, da alle externen Internetquellen, einschließlich derer von coinhive.com welche für Webmining notwendig sind, von den Proxy ACLs blockiert werden, die von den Angreifern selbst gesetzt werden.

Böswillig Sock4 Proxy aktivieren – Unbemerkt den Sock4 Port oder TCP/4153 aus dem Gerät des Opfers zu aktivieren, ermöglicht einem Angreifer die Kontrolle über das Gerät zu erlangen sogar nachdem es rebootet (IP Änderung) wurde, indem die aktuellste IP Adresse regelmäßig an die URL das Angreifers geleitet wurde.

Laut Wissenschaftlern sind momentan insgesamt 239.000 IP Adressen bestätigt, bei denen Sock4 Proxy schädigend aktiviert wurde und so Angreifern irgendwann erlaubt, permanent mehrere MikroTik RouterOS Geräte zu scannen, indem die gefährdeten Sock4 Proxy genutzt werden.

Opfer abhören – Da MikroTik RouterOS Geräte den Nutzern erlauben Datenpakete auf dem Router zu erfassen und sie an einen spezifischen Stream Server weiterzuleiten, können Angreifer diesen Datenverkehr von gefährdeten Routern zu von ihnen kontrollierten IP Adressen weiterleiten.

„Momentan wurden die IPs von insgesamt 7.500 MikroTik RouterOS Geräten vom Angreifer beeinträchtigt und ihr TZSP Verkehr wird zu sammelnden IP Adressen weitergeleitet“, sagen die Wissenschaftler.

„Wir haben auch bemerkt, dass die SNMP Ports 161 und 162 auch ganz oben auf der Liste stehen. Das wirft die Frage auf, wieso der Angreifer auf das Netzwerk Management Protokoll achtet, welches normale Nutzer nur selten nutzen. Versuchen sie die Reihung der Netzwerk SNMP Community von speziellen Nutzern zu beobachten und zu erfassen?“

Die Opfer sind über verschiedene Länder wie Russland, Iran, Brasilien, Indien, Ukraine, Bangladesch, Indonesien, Ecuador, die USA, Argentinien, Kolumbien, Polen, Kenia, Irak und einige europäische und asiatische Ländern verstreut, wobei Russland am stärksten betroffen ist.

Netlab hat die IP Adressen der Opfer aus Sicherheitsgründen nicht öffentlich gemacht, sagte aber, dass relevente Sicherheitsinstanzen in betroffenen Ländern die Firma kontaktieren können, um eine komplette Liste mit den infizierten IP Adressen zu bekommen.

Der beste Weg sich selbst zu schützen, ist zu patchen. Nutzern von MikroTik RouterOS wird sehr empfohlen ihre Geräte upzudaten und außerdem zu überprüfen, ob der HTTP Proxy, der Sock4 Proxy und die Funktion zur Netzwerkverkehrsaufzeichnung schädlich ausgenutzt wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.