![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Noch ein kurzer Hinweis f\u00fcr Administratoren, die MicroTik-Router einsetzen. Aktuell sind wohl Tausende ungepatchte MicroTik-Router kompromittiert und senden Daten an bestimmte Webadressen. Es handelt sich wohl um einen Versuch, einen Krypto-Miner auszuf\u00fchren. Deutschland scheint wohl keine (oder nur wenige) kompromittierte Ger\u00e4te aufzuweisen.<\/p>\n
<\/p>\n
In \u00e4lteren Firmware-Versionen der MikroTik-Router gibt es die Sicherheitsl\u00fccke CVE-2018-14847, die aber bereits im April 2018 gepatcht wurde (siehe MikroTik-Router patchen, Angriffe erfolgen<\/a>). Offenbar sind nicht alle Router aktualisiert worden, denn Sicherheitsforschern von Qihoo 360 Netlab haben im Juli 2018 in ihrem Honeypot mysteri\u00f6se Aktivit\u00e4ten bei MikroTik-Routern festgestellt.<\/p>\n Wie es scheint, werden Exploits, die frei verf\u00fcgbar sind (1<\/a>, 2<\/a>, 3<\/a>), eingesetzt, um einen Bug in der Winbox-Verwaltungskomponente auszunutzen. Dies erlaubt einem entfernten Angreifer, die Authentifizierung zu umgehen und beliebige Dateien zu lesen.<\/p>\n 360Netlab schreibt in diesem Blog-Post<\/a>, dass mehr als 7.500 MikroTik-Router weltweit ihren TZSP (TaZmen Sniffer Protocol)-Verkehr an neun externe IP-Adressen schicken (siehe Grafik). Deutschland ist wohl nicht wirklich betroffen. Wie es ausschaut, versuchen die Hacker im Mikrotik RouterOS den HTTP-Proxy zu aktivieren und \u00fcber Redirecting HTTP-Proxy-Anfragen an eine lokale HTTP 403-Fehlerseite zu leiten. In dieser Fehlerseite ist ein Link f\u00fcr Web-Mining-Code von coinhive.com<\/em> eingef\u00fcgt. Auf diese Weise hoffen die Angreifer, Web Mining f\u00fcr den gesamten Proxy-Verkehr auf den Ger\u00e4ten der Benutzer durchf\u00fchren zu k\u00f6nnen. Details sind bei 360Netlab<\/a> oder Bleeping Computer<\/a> nachzulesen. Erg\u00e4nzung: Ein weiterer Artikel findet sich hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Noch ein kurzer Hinweis f\u00fcr Administratoren, die MicroTik-Router einsetzen. Aktuell sind wohl Tausende ungepatchte MicroTik-Router kompromittiert und senden Daten an bestimmte Webadressen. Es handelt sich wohl um einen Versuch, einen Krypto-Miner auszuf\u00fchren. Deutschland scheint wohl keine (oder nur wenige) kompromittierte … Weiterlesen ![\"MikroTik](\"https:\/\/web.archive.org\/web\/20180904142708\/https:\/\/blog.netlab.360.com\/content\/images\/2018\/09\/11-1.png\" "\\"MikroTik")
\n(Kompromittierte MikroTik Router, Quelle: 360Netlab)<\/p>\n