Noch ein kurzer Hinweis für Administratoren, die MicroTik-Router einsetzen. Aktuell sind wohl Tausende ungepatchte MicroTik-Router kompromittiert und senden Daten an bestimmte Webadressen. Es handelt sich wohl um einen Versuch, einen Krypto-Miner auszuführen. Deutschland scheint wohl keine (oder nur wenige) kompromittierte Geräte aufzuweisen.
In älteren Firmware-Versionen der MikroTik-Router gibt es die Sicherheitslücke CVE-2018-14847, die aber bereits im April 2018 gepatcht wurde (siehe MikroTik-Router patchen, Angriffe erfolgen). Offenbar sind nicht alle Router aktualisiert worden, denn Sicherheitsforschern von Qihoo 360 Netlab haben im Juli 2018 in ihrem Honeypot mysteriöse Aktivitäten bei MikroTik-Routern festgestellt.
Wie es scheint, werden Exploits, die frei verfügbar sind (1, 2, 3), eingesetzt, um einen Bug in der Winbox-Verwaltungskomponente auszunutzen. Dies erlaubt einem entfernten Angreifer, die Authentifizierung zu umgehen und beliebige Dateien zu lesen.
(Kompromittierte MikroTik Router, Quelle: 360Netlab)
360Netlab schreibt in diesem Blog-Post, dass mehr als 7.500 MikroTik-Router weltweit ihren TZSP (TaZmen Sniffer Protocol)-Verkehr an neun externe IP-Adressen schicken (siehe Grafik). Deutschland ist wohl nicht wirklich betroffen. Wie es ausschaut, versuchen die Hacker im Mikrotik RouterOS den HTTP-Proxy zu aktivieren und über Redirecting HTTP-Proxy-Anfragen an eine lokale HTTP 403-Fehlerseite zu leiten. In dieser Fehlerseite ist ein Link für Web-Mining-Code von coinhive.com eingefügt. Auf diese Weise hoffen die Angreifer, Web Mining für den gesamten Proxy-Verkehr auf den Geräten der Benutzer durchführen zu können. Details sind bei 360Netlab oder Bleeping Computer nachzulesen. Ergänzung: Ein weiterer Artikel findet sich hier.
MVP: 2013 – 2016
