Auf Habré
sprachen sie
ausführlich über die Sicherheitsanfälligkeit
CVE-2018-14847 , von der weltweit etwa
370.000 MikroTik-Router betroffen sind (davon
40.000 in Russland) . Kurz gesagt, die Sicherheitsanfälligkeit in MikroTik RouterOS ermöglicht es ohne besondere Berechtigung, Dateien vom Router, einschließlich schlecht geschützter Zugriffskennwörter, aus der Ferne zu lesen.
Obwohl der Patch im April sehr schnell veröffentlicht wurde, folgen viele Router-Besitzer den Updates nicht. Infolgedessen bleiben ihre Geräte anfällig und sind in den IoT-Botnetzen enthalten, die von Angreifern verwendet werden. In den letzten Monaten wurden mehrere Fälle registriert, in denen über anfällige MikroTik-Router
Coinhive-Skripte für das Mining in einem Browser installiert und eine
DNS-Umleitung zu schädlichen Websites konfiguriert
wurden . Die Situation verschlechterte sich am 5. Oktober, als ein neuer Exploit von
By The Way für CVE-2018-14847 veröffentlicht wurde.
Aber nicht alle Hacker sind bereit, die Lässigkeit der Benutzer auszunutzen und damit Geld zu verdienen. Einige versuchen zu helfen.
Neulich sprach die beliebte westliche Publikation
ZDNet über den "mysteriösen russischsprachigen Hacker", der "in Router einbricht und diese ohne Benutzererlaubnis patcht". In der Tat sprechen wir über den Habrayuzer
LMonoceros , der jetzt als Berühmtheit angesehen werden kann.
In seinem
letzten Artikel sagte Alexey, dass er Zugriff auf Router erhält und Änderungen an deren Einstellungen vornimmt, um weiteren Missbrauch zu verhindern.
Alexey arbeitet als Serveradministrator. Technisch gesehen fällt sein edles Werk unter mehrere Artikel des Strafgesetzbuchs, daher wäre es ratsam, die Anonymität zu wahren. Demnach ist er jedoch nicht besonders begeistert: Laut
ZDNet prahlte der Spezialist „mit seinem Hobby auf der russischen Blog-Plattform“. Es ist leicht zu erraten, dass es sich um den Artikel
"Warum Mikrotik für Hacker handelt und wie ich 100.000 RouterOS vor einem Botnetz versteckt habe" handelt , den
LMonoceros am 27. September 2018 auf Habré veröffentlichte.
Verteilungskarte anfälliger Geräte ab September 2018, Abbildung: Kaspersky LabAlexey sagt, dass er bereits 100.000 gefährdete Router gepatcht hat. "Ich habe Firewall-Regeln hinzugefügt, die den Zugriff auf den Router nicht über das lokale Netzwerk blockieren", schrieb er. "In den Kommentaren habe ich Informationen über die Sicherheitsanfälligkeit geschrieben und die Adresse des Telegrammkanals
@router_os hinterlassen , wo Sie Fragen stellen können." Die Anleitung zum Einrichten einer Firewall wurde ebenfalls früher
auf Habré veröffentlicht .
Anscheinend wurde diese Bearbeitung von Konfigurationen , über die sich der Administrator beschwerte, von einem anderen Gratulanten vorgenommen. Er schreibt nicht die Adresse des Telegrammkanals, sondern gibt die Brieftaschennummer anBeachten Sie, dass heute (15. Oktober 2018) bereits 1080 Teilnehmer am RouterOs-Sicherheitskanal teilnehmen. Jeden Tag diskutieren sie die Situation mit den Schwachstellen von Mikrotiks.
MikroTik ist eine der beliebtesten Routermarken. Weltweit arbeiten mehr als zwei Millionen MikroTik-Router. Laut einigen Forschern sind mittlerweile mehr als 420.000 von ihnen an IoT-Botnetzen beteiligt und beteiligen sich am Bergbau.
Trotz der Konfiguration der Firewall für mehr als 100.000 Benutzer gibt Alexei an, dass nur 50 Personen per Telegramm kontaktiert wurden. Einige sagten Danke, aber die meisten waren empört.
Alexeys technisch illegale Aktivitäten verdienen Respekt, aber er ist nicht der erste, der genauso edel handelt, erinnert
ZDNet . Beispielsweise hat ein Hacker 2014
Zugriff auf Tausende von ASUS-Routern erhalten und Textwarnungen auf Computern mit freigegebenen Ordnern hinter diesen Routern veröffentlicht, um Benutzer vor der Notwendigkeit zu warnen, die Sicherheitsanfälligkeit zu schließen.
Ende 2015 veröffentlichte die Hacker-Gruppe des White Team
eine Linux.Wifatch-Malware , die die Sicherheitslücken verschiedener Linux-basierter Router schloss. Irgendwann wurde das White Team-Botnetz so groß, dass es gegen das Botnetz der berüchtigten Gruppe Lizard Squad um den Titel des größten Botnetzes im Internet kämpfte.
Erst kürzlich, im Jahr 2018, benannte ein unbekannter Hacker Zehntausende von MikroTik- und Ubiquiti-Routern um, um die Aufmerksamkeit der Eigentümer auf die Aktualisierung ihrer Geräte zu lenken. Die Geräte heißen "HACKED FTP-Server", "HACKED-ROUTER-HILFE-SOS-WAS-MFWORM-INFECTED" und "HACKED-ROUTER-HILFE-SOS-HAD-DEFAULT-PASSWORD".
Trotz der Bemühungen edler Hacker bleibt die Sicherheitslage von IoT-Geräten bedauerlich. Es ist jedoch schön zu erkennen, dass der russische Spezialist
LMonoceros dank seiner nützlichen Tätigkeit inzwischen wirklich berühmt geworden ist.
