Egy hacker foltozza a sebezhető MikroTik routereket
A titokzatos jóindulatú hacker már 100 000 eszközt védett meg az áprilisi biztonsági hibától.
Egy titokzatos hacker védi meg a MikroTik routereit az áprilisban napvilágot látott veszélyes Winbox sebezhetőségtől. A probléma azt követően került ismét a középpontba, hogy a Tenable Research biztonsági kutatócég egy új RCE exploitot adott ki a szóban forgó, komoly kockázatot jelentő biztonsági résre. Ez alapján a MikroTik eszközökön alapértelmezetten engedélyezett porton keresztül kívülről, azaz az internet felől is elérhető a sebezhető szoftvert futtató routerek menedzsment felülete, amit követően már kvázi bármit megtehet a támadó. A MikroTik eszközök népszerűségén és a hiba súlyán felbuzdulva egy "internetes Robin Hood" szabadidejében patchelni kezdte az érintett routereket. A saját bevallása szerint szerveradminisztrátorként dolgozó szakember állítólag már 100 000 eszközt tett rendbe.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A szóban forgó, CVE-2018-14847 sorszámú biztonsági hiba a MikroTik routerek alapértelmezetten megnyitott 8291-es portját lovagolja meg. Ennek segítségével konfigurálható a hálózati eszköz, és bár a hozzáférés a legtöbb esetben helyi hálózatokból engedélyezett, nincs technikai akadálya, hogy az internet felől is elérhetővé váljon a menedzsment lehetőség. A gyártó április végi közleménye szerint a biztonsági hiba lehetőséget ad arra, hogy a támadó megszerezze a a felhasználó adatbázisfájlját, amit dekódolva adminisztrátori hozzáférést szerezhet az eszközön.
Ezt követően pedig gyakorlatilag már szabad a pálya, amit mi sem bizonyít jobban, mint a bő két hónapja napvilágot látott, zombiként tevékenykedő routersereg. Ahogy arról a HWSW korábban beszámolt, MikroTik routerek százezrei vonultak a kriptobányába az azokba fecskendezett Coinhive bányászkód miatt. A Coinhive egy a hasonló, úgynevezett cryptojacking támadásoknál népszerű, egyébként legálisan is használható szolgáltatás, amely egy beágyazható JavaScript bányászkóddal teszi pénzzé a felhasználók számítógépes erőforrásainak egy részét a támadók egy MikroTik sebezhetőséget használtak ki, amelyhez a gyártó egyébként példamutató módon, már a felfedezést követő napon kiadott javítást, idén április 23-án. A patch ugyanakkor mint látható, nem jutott el az egyik helyi internetszolgáltató által kiszórt készülékekre, amelyeken így a támadók távolról adminisztrátori jogosultságokat szerezhettek.
Az eset kiválóan illusztrálja, hogy milyen fontos a hagyományosan elhanyagolt különféle hálózati eszközök, különösen a routerek megfelelő frissítése, amire nem csak a gyártóknak, de a felhasználóknak is érdemes odafigyelni. Az eset pikantériája, hogy az érintettek tehetetlenségét egy Alexey névre hallgató, úgynevezett gray hat hacker megelégelte, és magánakcióba kezdett. A szerveradminisztrátorként dolgozó szakember a Winbox sebezhetőség kiaknázva tűzfal szabályt hozott létre az érintett MikroTik eszközökben, amely blokkolja 8291-es port internet felőli hozzáférhetőségét. A jóakaró hacker állítja, már nagyjából 100 000 darab eszközön végezte el a műveletet, amely mellé megjegyzésben egy Telegram elérhetőséget is hagyott. A @router_os csatornára mindeddig csupán nagyjából 50 üzenet érkezett, amelyek egy része köszönet, a másik pedig valamilyen felháborodott reakció volt.