Już nie tylko smartfony i stacjonarne komputery są atakowane przez zmodyfikowane skrypty do kopania kryptowalut. Od sierpnia 2018 roku routery firmy Mikrotik stały się tak popularne, że z zainfekowanych latem 2018 roku ponad 230 tysięcy urządzeń teraz odkrywamy przeszło 400 tysięcy. Wniosek jest jeden — aktualizacje bezpieczeństwa nie są mocną stroną użytkowników i administratorów.

Aby zobrazować aktualny trend ataków na routery Mikrotik, musimy wrócić do sierpnia 2018 roku. Odkryta wtedy podatność CVE-2018-14847 w oprogramowaniu Router OS 6.42 do zarządzania routerami łotewskiej firmy, umożliwiała nieuwierzytelnionym atakującym zdalne zapisanie plików na routerze. Było to możliwe, ponieważ exploity Chimay Red na Winbox i Webfig, które wypłynęły od CIA, pozwalały zdalne uruchomić plik w podatnym urządzeniu. Producent szybko udostępnił aktualizację, ale w konsekwencji zainfekowanych koparkami krytpowalut zostało ponad 230 tysięcy routerów na świecie i ponad 15 tysięcy w Polsce. Źródło, więcej: https://avlab.pl/twoj-router-mikrotik-znowu-moze-byc-zainfe…


Uwaga! Podatność routerów Mikrotik na atak „Chimay Red”.


Jak podaje źródło https://gbhackers.com/hajime-botnet-port-8291/ i co potwierdziliśmy w konfiguracjach routerów Mikrotik, odmiana Hajime Botnet wróciła z nowymi funkcjami i tym razem skierowana jest do portu 8291, aby sprawdzić, czy urządzenie działa z podatnym na uszkodzenia sprzętem: Mikrotik RouterOS.
Atakujący propaguje bota, aby wykorzystać luki w RouterOS, które pozwalają mu wykonywać kod zdalnego wykonania na urządzeniu. MikroTik RouterOS oparty jest na jądrze systemu Linux i jest bardzo często wykorzystywany przez dostawców usług internetowych, a botnet wykorzystuje znane luki w zabezpieczeniach HTTP, SMB i Password Brute jak ma to miejsce w przypadku ostatniej infekcji na port 8291.
Najnowszym wariantem Hajime Botnet jest udane uruchamianie agresywnego skanowania przez port 8291 w celu wykrywania publicznie dostępnych urządzeń i wykorzystywania urządzeń z nimi połączonych.
Znaleziono w modułach ataku Exploit HTTP „Chimay Red”, który może wykorzystać lukę w zabezpieczeniach w procesie serwera HTTP z powodu nieprawidłowej weryfikacji danych wprowadzonych przez użytkownika.
Henwar ITO zadbał już o sugerowane zmiany u klientów wykorzystujących urządzenia Mikrotik:
Block unwanted request via 8291.
Update MikroTik firmware to v6.41.3 (or at least, above v6.38.5).