Benutzer von Mikrotik-Routern sollten deren Firmware dringend aktualisieren. Denn eine vor zwei Tagen bekannt gewordene Sicherheitslücke wird bereits für Angriffe ausgenutzt.
Anzeige
Sicherheitslücke bekannt, Update verfügbar
Vor zwei Tagen hatte ich im Artikel Mikrotik-Router: Sicherheitslücke im Winbox-Port über eine Sicherheitslücke in Routern des Anbieters Mikrotik berichtet. Die Schwachstelle wurde von Mikrotik entdeckt und betrifft alle RouterOS-Versionen seit v6.29 bis zur Version .43rc3. Die Sicherheitslücke erlaubte es einem speziellen Tool, sich mit dem Winbox-Port zu verbinden und die Datenbankdatei des Systembenutzers anzufordern.
Der Hersteller hat am 23. April 2018 bereits die Router OS-Versionen v6.42.1 und v6.43rc4 freigegeben, die diese Sicherheitslücke schließen.
Anzeige
Erste Angriffe beobachtet
Bleeping Computer berichtet hier, dass genau diese Sicherheitslücke bereits ausgenutzt werde. Laut einem tschechischen Forum wurde ein Zero-Day-Exploit entdeckt, mit dem sich die Nutzerdatenbank auslesen lässt.
Gelingt es dem Angreifer, auf die Nutzerdaten zuzugreifen und die Daten zu entschlüsseln, kann er sich anschließend über das Webinterface des Routers in das System einloggen. Die Hacks folgten einem ähnlichen Muster. Der Angreifer produziert zwei fehlgeschlagene Winbox-Anmeldeversuche und eine erfolgreiche Anmeldung (obiger Screenshot). Dann ändert er einige Dienste im Router und meldet sich ab, um einige Stunden später wiederzukommen.
Alle Angriffe wurden mit Winbox durchgeführt, einem Fernverwaltungsdienst, den MikroTik mit seinen Routern anbietet, um Benutzern die Konfiguration von Geräten über ein Netzwerk oder das Internet zu ermöglichen. Der Winbox-Dienst (Port 8291) wird standardmäßig mit allen MikroTik-Geräten ausgeliefert.
Zero-Day wurde nicht massenhaft genutzt
Die gute Nachricht ist, dass alle Angriffe bisher nur von einer IP-Adresse aus durchgeführt wurden, Das deutet darauf hin, dass dies die Arbeit eines einzelnen Hackers war. Die IP-Adresse 103.1.221.39 des Angreifers, von der alle angegriffenen Benutzer berichteten, wurde in Taiwan zugewiesen.
Trotzdem sollte man sofort updaten und vorsichtshalber die Anmeldekennwörter für den Routerzugang ändern.
Anzeige
Hallo,
wir haben in unserem internen Netz WLAN-Bridges (RB411) von MikroTik im Einsatz. Kann mir jemand vielleicht sagen ob die davon auch betroffen sind?
Grüße Norbert
Vermutlich. Zitat von oben: "…betrifft alle RouterOS-Versionen seit v6.29 bis zur Version 6.43rc3".
Aktuell ist 6.43rc5