За словами дослідників, близько 300 тис. маршрутизаторів, вироблених латвійською компанією MikroTik, уразливі для віддалених атак. Пристрої можуть приховано опинятися в бот-мережі, розкривати конфіденційні дані користувачів та беруть участь у DDoS-атаках, що завдають шкоди Інтернету. Нагадаємо, що Microsoft захопила десятки сайтів, які використовувалися групою китайських хакерів «Nickel».
Оцінка, зроблена дослідниками з охоронної фірми Eclypsium, заснована на скануванні в Інтернеті. Під час нього виконувався пошук пристроїв MikroTik з використанням версій прошивки, які містять уразливості, виявлені протягом останніх трьох років. Хоча виробник випустив виправлення, дослідження Eclypsium показує, що значна частина користувачів ще їх не встановила.
«З урахуванням проблеми оновлення MikroTik, існує велика кількість пристроїв із цими уразливостями 2018 та 2019 років. Це дає зловмисникам безліч можливостей отримати повний контроль над дуже потужними пристроями, дозволяючи їм атакувати пристрої як за портом LAN, так й інші пристрої в Інтернеті».
Хакери «полюбяють» MikroTik
На початку 2018 року дослідники з компанії Kaspersky, заявили, що потужне шкідливе програмне забезпечення під назвою Slingshot, яке залишалося непоміченим протягом шести років, спочатку поширилося через маршрутизатори MikroTik. Через атаки завантажували шкідливі файли з уразливих маршрутизаторів, використовуючи службову програму налаштування MikroTik, відому як Winbox. Вона передавала корисні дані із файлової системи пристрою на підключений комп’ютер.
За кілька місяців дослідники з компанії Trustwave виявили дві шкідливі кампанії проти маршрутизаторів MikroTik. Також у 2018 році китайська компанія Netlab 360 повідомила, що тисячі маршрутизаторів MikroTik були залучені до ботнету шкідливим ПЗ – уразливість CVE-2018-14847.
Дослідники Eclypsium заявили, що CVE-2018-14847 є однією з принаймні трьох уразливостей високого ступеня серйозності, які не виправлені в пристроях MikroTik. У поєднанні з двома іншими, виявленими у Winbox – CVE-2019-3977 та CVE-2019-3978, – Eclypsium виявила 300 000 вразливих пристроїв. Після зараження пристрою хакери зазвичай використовують його для подальших атак, крадіжки даних або участі в розподілених атаках типу «відмова в обслуговуванні».
Дослідники випустили безкоштовний програмний інструмент, за допомогою якого люди можуть визначати, чи вразливий їхній пристрій. Компанія також надає інші пропозиції щодо блокування пристроїв. Як завжди, найкращий спосіб захистити пристрій – це встановити на ньому останню версію прошивки. Також важливо замінити паролі та вимкнути віддалене адміністрування, якщо в цьому немає необхідності.