Eclypsium: Пристрої MikroTik активно використовуються для проведення DDoS-атак, командного управління, тунелювання трафіку
Eclypsium: пристрої MikroTik активно використовуються для DDoS-атак, управління командами, тунелювання трафіку
За оцінками експертів компанії Eclypsium, багато пристроїв MikroTik містять уразливості і являють собою зручний стартовий майданчик для кібератак. MikroTik - популярний постачальник роутерів і бездротових пристроїв для інтернет-провайдерів, розгортаючи понад 2 млн пристроїв по всьому світу.
Пристрої MikroTik стали улюбленими серед зловмисників, які використовували продукти компанії для будь-яких дій, включаючи DDoS-атаки, командне управління, тунелювання трафіку і т.д. Зі збільшенням кількості користувачів, що працюють з дому, з'явилося безліч легко виявляються вразливих пристроїв, які можуть надати злочинцям доступ як до домашніх пристроїв співробітників, так і до корпоративних пристроїв і ресурсів.
Хоча зловмисники мають інструменти для пошуку вразливих пристроїв MikroTik, багато компаній цього не роблять. Навіть звичайний пошуковий запит Shodan не знаходить цілих рядів пристроїв. Пристрої MikroTik мають спокусливі характеристики з точки зору хакерів. Їх багато - по всьому світу розгорнуто понад 2 мільйони пристроїв, включаючи особливо потужні і багатофункціональні пристрої. Маршрутизатори і бездротові системи MikroTik регулярно використовуються місцевими інтернет-провайдерами, а також подібні ємності можуть бути привабливими для кіберзлочинців.
Пристрої MikroTik містять вразливості і часто поставляються з вбудованими обліковими даними адміністратора. Крім того, функція автоматичного оновлення MikroTik включається рідко, тому багато пристроїв ніколи не отримують патчі. Вони також мають неймовірно складний інтерфейс налаштування, що дозволяє користувачам легко робити помилки. Все це призводить до ситуації, коли в інтернеті виявляються тисячі вразливих і EOL пристроїв з вичерпаним терміном підтримки більше десяти років тому.
Ряд продуктів MikroTik містить критичні вразливості, що експлуатуються віддалено. Здатність скомпрометованих маршрутизаторів вводити шкідливий контент, тунелювати, копіювати або перенаправляти трафік можна використовувати різними дуже небезпечними способами. Отруєння кешу DNS (або підміна DNS) дозволяє перенаправити з'єднання віддаленого працівника на шкідливий сайт. Зловмисник може використовувати відомі методи та інструменти для потенційного викрадення конфіденційної інформації, включаючи коди багатофакторної аутентифікації (MFA).
Виходячи з важливості цих пристроїв, експерти хотіли відобразити вразливі пристрої MikroTik в Мережі. Вони почали зі збору основної інформації, такої як версія пристрою, конфігурація та інші характеристики. За час цього процесу їм вдалося знайти близько 20 тисяч пристроїв з відкритим проксі-сервером і впровадженням скриптів криптомайнінгу в веб-сторінки, які відвідував користувач. Наприклад, оператори шкідливого ПЗ Meris продовжують масово заражати пристрої MikroTik.
За результатами пошукових запитів Шодана експерти виявили приблизно 300 тисяч IP-адрес, вразливих хоча б до одного відомого експлойту. Найбільш вразливі маршрутизатори знаходяться в Китаї, Бразилії, Італії та Індонезії. США займають 8 місце.
ІТ-відділи підприємств закликають вжити заходів для виявлення будь-яких вразливих або скомпрометованих пристроїв MikroTik в їх середовищі і вжити відповідних заходів для зниження ризику атак.
