數千台MikroTik路由器被當作網路竊聽工具
上個月曾出現過20萬台MikroTik路由器固件由於存在Vault 7漏洞,遭到了數字貨幣挖礦惡意軟體攻擊。現在中國的網路安全團隊奇虎360網路實驗室的研究人員又發現了37萬台MikroTik路由器中存在網路安全漏洞,其中7500台路由器已經被惡意開啟了Socks4代理功能,這樣黑客從7月中旬開始就對通過MikroTik路由器的數據通信進行竊聽
該漏洞位於MikroTik路由器中的Winbox Any Directory File Read(CVE-2018-14847),由Vault 7黑客工具Chimay Red發現,除此之外還有其他Webfig遠程配置漏洞。Winbox和Webfig都是MikroTik路由器系統RouterOS管理功能中的組件,通過TCP/8291, TCP/80和TCP/8080埠進行網路通信。Winbox方便了Windows用戶可以對路由器進行輕鬆管理並從路由器上下載DLL文件到Windows系統中,方便管理員遠程管理。
根據研究人員的報告,120萬台MikroTik路由器中,目前還有37萬台還存在著這個漏洞,已經發現有惡意軟體針對該漏洞發起了惡意攻擊,包括CoinHive挖礦代碼注入、靜默開啟Socks4代理功能、對網路通信數據進行監控。
CoinHive挖礦代碼注入只需要在MikroTik路由器上開啟HTTP代理功能,黑客就可以將所有的HTTP代理請求重定向至一個本地的HTTP 403錯誤頁面並在該網頁上注入Coinhive網站的挖礦網頁代碼鏈接。至此黑客就利用用戶設備的所有HTTP代理流量來進行數字挖礦。諷刺的是,這種攻擊方法並不會像黑客們所期望的那樣,而是由於受到黑客自己在路由器上設置的訪問控制列表(ACL),最終導致所有外部的外部網路資源都被禁止訪問。
開啟Sock4惡意代理功能。黑客一旦在MikroTik路由器上靜默開啟TCP/4153埠上的Socks4代理功能,就可以獲取設備的最高許可權。即使設備重啟或間斷性更換IP地址後也會將最新的IP地址信息與黑客的惡意網址綁定。據研究人員的說明,目前有23萬9千台MikroTik路由器已經被確認開啟了Socks4惡意代理功能,黑客也將繼續掃描網路中更多還存在該漏洞的MikroTik路由器。
監聽用戶。MikroTik路由器的RouterOS系統允許用戶在路由器上抓包並轉發到特定的流伺服器,黑客可以將這些抓包數據轉發到特定的IP地址。目前有7500台MikroTik路由器已經被黑客攻擊並向一些特殊的IP地址轉發TZSP數據包信息。
同時研究人員也注意到SNMP埠161和162也受到了攻擊,這需要引起大家的額外注意,為什麼黑客會對網路管理員才會使用的埠和網路協議感興趣?難道他們是想要監視並獲取一些特殊用戶的SNMP信息?
目前發現的受到影響的MikroTik路由器分布在各個國家,其中包括俄羅斯、伊朗、巴西、烏克蘭、孟加拉國、印度尼西亞、厄瓜多、美國、阿根廷、哥倫比亞、波蘭、肯亞、伊拉克和其他一些歐洲和亞洲國家,其中俄羅斯受到的影響最大。
奇虎360網路實驗室出於安全原因,沒有公布這些IP地址。一般用戶最好的預防方法是及時安裝補丁,MikroTik路由器的用戶需要及時更新自己設備的固件更新程序。
