Ribuan MikroTik Router Di “Hack” untuk menguping Lalu Lintas Dalam Jaringan

0
24

Bulan lalu kami melaporkan tentang kampanye malware  yang dibajak lebih dari 200.000 router MikroTik menggunakan kerentanan/bugs diungkapkan sebelumnya terungkap dalam  CIA Vault 7 leaks

Sekarang peneliti keamanan Cina di Qihoo 360 Netlab telah menemukan ditemukan bahwa dari 370.000 router MikroTik berpotensi rentan, lebih dari 7.500 perangkat telah dikompromikan untuk mengaktifkan proxy Socks4 jahat, yang memungkinkan penyerang untuk aktif menguping lalu lintas jaringan yang ditargetkan sejak pertengahan Juli.

Kerentanan yang dimaksud adalah Winbox Setiap direktori Berkas Baca (CVE-2.018-14.847) di router MikroTik yang ditemukan dieksploitasi oleh CIA Vault 7 hacker tool bernama Chimay Red, Bersama dengan Webfig kerentanan eksekusi kode jauh lagi MikroTik.

Kedua Winbox dan Webfig yang RouterOS komponen manajemen dengan port komunikasi yang sesuai mereka sebagai TCP / 8291, TCP / 80, dan TCP / 8080. Winbox dirancang untuk pengguna Windows untuk dengan mudah mengkonfigurasi router yang men-download beberapa file DLL dari router dan mengeksekusi mereka pada sebuah sistem.

Menurut para peneliti, lebih dari 370.000 dari 1,2 juta router MikroTik masih rentan terhadap CVE-2.018-14.847 mengeksploitasi, bahkan setelah vendor telah meluncurkan update keamanan untuk menambal celah tersebut.

peneliti Netlab telah mengidentifikasi malware mengeksploitasi CVE-2.018-14.847 kerentanan untuk melakukan berbagai aktivitas berbahaya, termasuk kode injeksi CoinHive pertambangan, diam-diam memungkinkan proxy yang Socks4 pada router, dan memata-matai korban.

Setelah mengaktifkan proxy Mikrotik RouterOS HTTP, para penyerang mengarahkan semua permintaan HTTP proxy untuk HTTP 403 halaman kesalahan lokal yang menyuntikkan link untuk kode pertambangan web dari Coinhive.

“Dengan melakukan ini, penyerang/hacker berharap untuk melakukan pertambangan ( menampung data )  web untuk semua lalu lintas proxy pada perangkat pengguna,” para peneliti menjelaskan.

“Apa yang mengecewakan bagi penyerang meskipun, kode pertambangan ( menampung data )  tidak bekerja dengan cara ini, karena semua sumber daya web eksternal, termasuk dari coinhive.com diperlukan untuk pertambangan web, yang diblokir oleh ACL proxy yang ditetapkan oleh penyerang sendiri.”

Port Socks4 atau TCP / 4153 pada perangkat korban memungkinkan penyerang untuk mendapatkan kontrol dari perangkat bahkan setelah itu telah reboot (IP perubahan) secara berkala melaporkan alamat IP terbaru untuk URL penyerang.

Menurut para peneliti, saat ini, total 239.000 alamat IP yang dikonfirmasi untuk memiliki proxy Socks4 diaktifkan jahat, akhirnya memungkinkan penyerang untuk terus memindai lebih perangkat MikroTik RouterOS menggunakan ini dikompromikan Socks4 proxy.

Menguping Korban -Karena perangkat MikroTik RouterOS memungkinkan pengguna untuk menangkap paket pada router dan meneruskannya ke server Streaming tertentu, penyerang meneruskan lalu lintas dari router terganggu ke alamat IP yang dikendalikan oleh mereka.

“Saat ini, total 7,5k MikroTik RouterOS perangkat IP telah dikompromikan oleh penyerang, dan lalu lintas TZSP mereka sedang diteruskan ke beberapa alamat mengumpulkan IP,” kata para peneliti.

“Kami juga melihat port SNMP 161 dan 162 juga atas pada daftar. Ini pantas beberapa pertanyaan, mengapa penyerang memperhatikan protokol manajemen jaringan pengguna biasa hampir tidak digunakan? Apakah mereka mencoba untuk memantau dan menangkap jaringan beberapa pengguna khusus string masyarakat SNMP?”

Para korban tersebar di berbagai negara Rusia, Iran, Brazil, India, Ukraina, Bangladesh, Indonesia, Ekuador, Amerika Serikat, Argentina, Kolombia, Polandia, Kenya, Irak, dan beberapa negara Eropa dan Asia, dengan Rusia yang paling terpengaruh .

Netlab tidak berbagi alamat IP dari korban kepada publik untuk alasan keamanan, tetapi mengatakan bahwa entitas keamanan yang relevan di negara-negara yang terkena dampak dapat menghubungi perusahaan untuk daftar lengkap alamat IP yang terinfeksi.

Cara terbaik untuk melindungi diri sendiri adalah untuk patch. pengguna MikroTik RouterOS sangat dianjurkan untuk memperbarui perangkat mereka dan juga memeriksa apakah proxy HTTP, Proxy Socks4, dan jaringan berfungsi Meng-capture lalu lintas jahat yang sedang dieksploitasi.

source : https://thehackernews.com/

 

 

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here