Niedawno miały miejsce ataki DDoS na dużą skalę wykorzystujące nowy botnet o nazwie Mēris. Osiągnęły już one poziom prawie 22 milionów zapytań na sekundę. Według badania organizacji Qrator urządzenia sieciowe MikroTik odpowiadały za sporą część ruchu wygenerowanego przez botnety.
Po przeanalizowaniu sytuacji eksperci odpowiedzialni za routery MikroTik nie znaleźli w nich żadnych nowych luk; jednak zagrożenie mogą nadal stanowić te, które są już znane. Dlatego aby upewnić się, że router nie dołączył do botnetu Mēris (ani żadnego innego), należy przestrzegać kilku zaleceń.
Dlaczego urządzenia MikroTik są dołączane do botnetu
Kilka lat temu badacz bezpieczeństwa odkrył lukę w zabezpieczeniach routerów MikroTik. Znajdowała się ona w narzędziu konfiguracyjnym Winbox, za pomocą którego zhakowanych zostało wiele urządzeń. Chociaż firma wyeliminowała tę lukę w zabezpieczeniach w 2018 roku, najwyraźniej nie wszyscy użytkownicy zaktualizowali swoje routery.
Ponadto nawet jeśli ktoś zaktualizował oprogramowanie routera, mógł nie zastosować się do dodatkowych zaleceń producenta dotyczących zmiany hasła. Jeśli użytkownik nie zmieni hasła, to mimo aktualizacji oprogramowania ktoś może zalogować się do routera i ponownie zacząć go wykorzystywać.
Według firmy MikroTik routery, które są teraz wcielone do botnetu Mēris, to te same urządzenia, które zostały zhakowane w 2018 roku. Firma opublikowała oznaki świadczące o naruszeniu bezpieczeństwa tych urządzeń i wydała zalecenia.
Jak sprawdzić, czy router MikroTik jest częścią botnetu
Gdy router został dołączony do botnetu, cyberprzestępcy zmieniają wiele ustawień w oprogramowaniu układowym urządzenia. Dlatego pierwszym zaleceniem, jakie wydała firma MikroTik, jest przyjrzenie się konfiguracji urządzenia i sprawdzenie następujących elementów:
- Czy istnieje reguła, która wykonuje skrypt za pomocą metody fetch(). Jeśli tak, usuń ją (w obszarze System → Harmonogram).
- Czy serwer proxy SOCKS włączony. Ustawienie to znajdziesz w sekcji IP → SOCKS. Jeśli go nie używasz, wyłącz go.
- Czy istnieje klient L2TP o nazwie lvpn (lub dowolny inny nieznany Ci klient L2TP). Jeśli tak, usuń je wszystkie.
-
Czy istnieje reguła zapory sieciowej umożliwiająca zdalny dostęp przez port 5678. Jeśli tak, usuń ją.
Zalecenia dotyczące ochrony routera MikroTik
Kluczowym elementem każdej udanej strategii obronnej są regularne aktualizacje. Bezpieczeństwo w dużej mierze zależy tu od przestrzegania najlepszych praktyk bezpieczeństwa sieci.
- Upewnij się, że router korzysta z najnowszego dostępnego oprogramowania układowego i regularnie je aktualizuj.
- Wyłącz zdalny dostęp do urządzenia, chyba że jest on absolutnie niezbędny.
- Jeśli naprawdę musisz korzystać z dostępu zdalnego, skonfiguruj go za pośrednictwem kanału VPN. Na przykład użyj protokołu Ipsec.
- Użyj długiego i silnego hasła do zarządzania. Nawet jeśli Twoje obecne hasło jest silne, na wszelki wypadek je zmień.
Ogólnie należy zakładać, że sieć lokalna nie jest bezpieczna, co oznacza, że jeśli jeden komputer zostanie zainfekowany, szkodliwe oprogramowanie może zaatakować router od wewnątrz i uzyskać dostęp poprzez złamanie haseł metodą siłową. Dlatego z naszej strony zdecydowanie zalecamy stosowanie niezawodnych rozwiązań bezpieczeństwa na wszystkich komputerach podłączonych do internetu.