Тысячи устройств MikroTik используются операторами ботнетов в ходе атак
10/12/21
Компания MikroTik является популярным поставщиком маршрутизаторов и беспроводных устройств для интернет-провайдеров, развернув по всему миру более 2 млн устройств. Однако, по словам экспертов из компании Eclypsium, многие из этих устройств содержат уязвимости и представляют собой удобную стартовую площадку для осуществления кибератак.
Устройства MikroTik стали фаворитом среди злоумышленников, которые использовали продукты компании для любых действий, включая DDoS-атаки, командное управление, туннелирование трафика и пр. С увеличением числа пользователей, работающих из дома, появилось много легко обнаруживаемых уязвимых устройств, которые могут предоставить преступникам доступ как к домашним устройствам сотрудников, так и к устройствам и ресурсам предприятия.
Хотя у злоумышленников есть инструменты для поиска уязвимых устройств MikroTik, у многих предприятий их нет. Даже обычный поисковый запрос Shodan не находит целые ряды устройств. Устройства MikroTik обладают соблазнительными характеристиками с точки зрения хакеров. Их много — по всему миру развернуто более 2 млн устройств, в том числе особенно мощные и многофункциональные устройства. Маршрутизаторы и беспроводные системы MikroTik регулярно используются местными интернет-провайдерами, и подобные мощности также могут быть привлекательными для киберпреступников.
Устройства MikroTik содержат уязвимости и часто поставляются со встроенными учетными данными администратора. Кроме того, функция автоматического обновления MikroTik редко включается, поэтому многие девайсы никогда не получают патчи. У них также невероятно сложный интерфейс настройки, из-за чего пользователи легко совершают ошибки. Все это приводит к ситуации, когда в интернете обнаруживаются тысячи уязвимых и EOL-устройств с истекшим сроком поддержки более десяти лет назад.
Ряд продуктов MikroTik содержат критические уязвимости, эксплуатируемые удаленно. Способность скомпрометированных маршрутизаторов внедрять вредоносный контент, туннелировать, копировать или перенаправлять трафик может использоваться множеством очень опасных способов. Отравление кэша DNS (или DNS-спуфинг) позволяет перенаправить подключение удаленного работника к вредоносному сайту. Злоумышленник может использовать хорошо известные методы и инструменты для потенциального хищения конфиденциальной информации, включая коды многофакторной аутентификации (MFA).
Основываясь на значимости этих устройств, специалисты хотели составить карту уязвимых в Сети устройств MikroTik. Они начали со сбора базовой информации, такой как версия устройства, конфигурация и другие характеристики. В ходе этого процесса им удалось найти около 20 тыс. устройств с открытым прокси-сервером и внедрением криптомайнинговых скриптов в web-страницы, которые посещал пользователь. Например, операторы вредоносного ПО Meris продолжают массово заражать устройства MikroTik.
По результатам поисковых запросов Shodan эксперты выявили примерно 300 тыс. IP-адресов, уязвимых как минимум для одного известного эксплоита. Больше всего уязвимых маршрутизаторов находится в Китае, Бразилии, России, Италии и Индонезии. США занимают 8-е место.
IT-отделам предприятий настоятельно рекомендуется предпринять шаги для выявления любых уязвимых или скомпрометированных устройств MikroTik в своей среде и предпринять соответствующие действия для снижения риска атак.