Più di 7500 router MikroTik compromessi inoltrano traffico verso gli attaccanti
La società di sicurezza Qihoo 360 Netlab ha scoperto che 7500 router MikroTik sono stati attaccati attraverso gli strumenti carpiti alla Central Intelligence Agency nel corso del Vault7 dump, nello specifico tramite CIA Vault7 Chimay Red, un tool che consente di sfruttare due vulnerabilità note, una su Winbox (CVE-2018-14847) e una su Webfig legata all’esecuzione di codice in modalità remota. Sia Winbox che Webfig sono componenti di gestione RouterOS, il sistema operativo proprietario della MikroTik, una società lettone fondata nel 1996 e che oggi vende in tutto il mondo hardware e software per la gestione della connettività Internet.
I ricercatori Qihoo 360 Netlab, sapendo che i due tools di gestione, Winbox (applicazione GUI di Windows) e Webfig (applicazione web based) utilizzano le porte TCP 8291, 80 e 8080, sono riusciti ad analizzare il fenomeno già da metà luglio attraverso l’uso di Honeypot. Dall’analisi sono risultate alcune attività malevoli, come l’iniezione di codice mining di CoinHive. Inoltre è stato osservato un numero enorme di vittime con il proxy Socks4 abilitato.
L’attacco prevede tre scenari
- Scenario 1: Iniezione di codice Mining CoinHive
Una volta abilitato il proxy HTTP di Mikrotik RouterOS, gli hacker riescono a reindirizzare tutte le richieste del proxy HTTP a una pagina locale di errore HTTP 403 e a iniettare in essa un collegamento contenente il codice di web mining di Coinhive. In questo modo, l’utente malintenzionato prova ad eseguire il mining web sui dispositivi degli utenti attraverso il traffico che passa dal proxy. Purtroppo per l’hacker, l’attacco non funziona in quanto tutte le risorse web esterne, incluse quelle di coinhive.com, sono bloccate dagli ACL dei proxy impostati dagli stessi attaccati.
- Scenario 2: Abilitazione maliziosa di Sock4 Proxy
Attualmente 239K dispositivi presentano la porta Socks4 (TCP/4153) abilitata maliziosamente e dalla configurazione del proxy consente l’accesso solo dalla seguente classe di Ip: 95.154.216.128/25. Affinché l’attaccante possa ottenere il controllo anche dopo il riavvio del dispositivo, il router viene configurato per eseguire un’attività pianificata che segnala periodicamente il suo ultimo indirizzo IP accedendo alla URL di un utente malevolo. L’attaccante sfrutta questo proxy Socks4 compromesso anche per eseguire la scansione di altri dispositivi MikroTik RouterOS. Tutti i 239K IPs potrebbero quindi fornire l’accesso a 95.154.216.128/25 e soprattutto a 95.154.216.167.
- Scenario 3: Intercettazioni
Il dispositivo MikroTik RouterOS consente agli utenti di acquisire pacchetti sul router e inoltrare il traffico di rete catturato ad un server Stream specificato. Attualmente i 7500 IP associati ai dispositivi MikroTik RouterOS sono stati compromessi dall’attaccante e il loro traffico viene dirottato ad alcuni indirizzi IP malevoli (uno di questi è il 37.1.207.114). Le porte interessate dagli attacchi sono le 20, 21, 25, 110 e 143, corrispondenti al traffico dati FTP, FTP, SMTP, POP3 e IMAP. Inoltre sono coinvolte anche le porte SNMP 161 e 162. Non è ancora chiaro perché l’attaccante presti attenzione anche al protocollo di gestione della rete, visto che è usato pochissimo dagli utenti standard.
Raccomando a tutti gli utenti Mikrotik di aggiornare quanto prima la versione del RouterOS tramite la funzione di aggiornamento che trovate in Winbox e di seguire le linee guida per mettere in sicurezza i dispositivi disponibili a questa pagina Manual:Securing Your Router.
Articolo tratto da: CERT-PA
RSS - Articoli