No mês passado, informamos sobre uma ampla campanha de malware de mineração de criptografia que sequestrou mais de 200.000 roteadores MikroTik usando uma vulnerabilidade revelada anteriormente revelada nos vazamentos do CIA Vault 7.
Agora, pesquisadores de segurança chineses da Qihoo 360 Netlab descobriram que dos 370 mil roteadores potencialmente vulneráveis da MikroTik, mais de 7.500 dispositivos foram comprometidos para permitir o proxy Socks4 maliciosamente, permitindo que os invasores espionem ativamente o tráfego de rede direcionado desde meados de julho.
A vulnerabilidade em questão é Winbox Any Directory File Read (CVE-2018-14847) nos roteadores MikroTik que foram encontrados explorados pela ferramenta de hacking CIA Vault 7, chamada Chimay Red, juntamente com outra vulnerabilidade de execução remota de código do Webfig da MikroTik.
O Winbox e o Webfig são componentes de gerenciamento do RouterOS com suas portas de comunicação correspondentes, como TCP / 8291, TCP / 80 e TCP / 8080. O Winbox foi projetado para que os usuários do Windows configurem facilmente os roteadores que baixam alguns arquivos DLL do roteador e os executam em um sistema.
De acordo com os pesquisadores, mais de 370.000 de 1.2 milhões de roteadores MikroTik ainda são vulneráveis à exploração CVE-2018-14847, mesmo depois que o fornecedor já lançou as atualizações de segurança para corrigir a lacuna.
Pesquisadores da Netlab identificaram malware explorando a vulnerabilidade CVE-2018-14847 para executar várias atividades maliciosas, incluindo injeção de código de mineração CoinHive, permitindo silenciosamente proxy Socks4 em roteadores e espionando vítimas.
Saiba mais sobre segurança da informação:
Segurança da Informação
CoinHive Mining Code Injection – Depois de ativar o proxy HTTP Mikrotik RouterOS, os atacantes redirecionam todos os pedidos de proxy HTTP para uma página de erro HTTP 403 local que injeta um link para o código de mineração da Web da Coinhive.
“Ao fazer isso, o atacante espera realizar a mineração da web para todo o tráfego de proxy nos dispositivos dos usuários”, explicam os pesquisadores. “O que é decepcionante para o invasor, no entanto, o código de mineração não funciona dessa maneira, porque todos os recursos da Web externos, incluindo os coinhive.com necessários para a mineração da Web, são bloqueados pelas ACLs de proxy definidas pelos próprios invasores.”
Habilitar habilmente o Sock4 Proxy – habilitar silenciosamente a porta Socks4 ou TCP / 4153 no dispositivo das vítimas permite que um invasor controle o dispositivo mesmo depois de ter sido reinicializado (alteração de IP) informando periodicamente seu endereço IP mais recente ao URL do invasor.
De acordo com os pesquisadores, no momento, um total de 239.000 endereços IP foram confirmados para ter o proxy Socks4 habilitado de forma maliciosa, eventualmente permitindo que os invasores examinem continuamente mais dispositivos MikroTik RouterOS usando esses proxy Socks4 comprometidos.
Escutas em vítimas – Uma vez que os dispositivos MikroTik RouterOS permitem aos usuários capturar pacotes no roteador e encaminhá-los para o servidor Stream especificado, os invasores estão encaminhando o tráfego de roteadores comprometidos para endereços IP controlados por eles.
“No momento, um total de 7.5k IPs do dispositivo MikroTik RouterOS foi comprometido pelo atacante, e seu tráfego TZSP está sendo encaminhado para alguns endereços IP de coleta”, dizem os pesquisadores. “Também notamos que as portas SNMP 161 e 162 também estão no topo da lista. Isso merece algumas perguntas, por que o atacante está prestando atenção ao protocolo de gerenciamento de rede que os usuários comuns mal usam? Eles estão tentando monitorar e capturar a rede de alguns usuários especiais? Strings da comunidade SNMP? ” As vítimas estão espalhadas por vários países: Rússia, Irã, Brasil, Índia, Ucrânia, Bangladesh, Indonésia, Equador, Estados Unidos, Argentina, Colômbia, Polônia, Quênia, Iraque e alguns países europeus e asiáticos, sendo a Rússia a mais afetada.
Top 20
O Netlab não compartilhou os endereços IP das vítimas com o público por razões de segurança, mas disse que as entidades de segurança relevantes nos países afetados podem entrar em contato com a empresa para obter uma lista completa dos endereços IP infectados.
A melhor maneira de se proteger é a PATCH. Os usuários do MikroTik RouterOS são altamente recomendados para atualizar seus dispositivos e também verificar se o proxy HTTP, o proxy Socks4 e a função de captura de tráfego de rede estão sendo maliciosamente explorados.
Verifique se seu dispositivo está atualizado aqui:
Mikrotik
Não sabe como atualizar seu equipamento ? Fale Conosco !
