Getty Images
Maar liefst 300.000 routers gemaakt door het in Letland gevestigde MikroTik zijn kwetsbaar voor aanvallen op afstand die de apparaten heimelijk kunnen insluiten in botnets die gevoelige gebruikersgegevens stelen en deelnemen aan internetverlammende DDoS-aanvallen, aldus onderzoekers.
De schatting, gemaakt door onderzoekers van beveiligingsbedrijf Eclypsium, is gebaseerd op internetbrede scans die zochten naar MikroTik-apparaten met firmwareversies waarvan bekend is dat ze kwetsbaarheden bevatten die in de afgelopen drie jaar zijn ontdekt. Hoewel de fabrikant patches heeft uitgebracht, blijkt uit het Eclypsium-onderzoek dat een aanzienlijk deel van de gebruikers deze nog moet installeren.
“Gezien de uitdagingen van het updaten van MikroTik, zijn er grote aantallen apparaten met deze kwetsbaarheden van 2018 en 2019”, onderzoekers van Eclypsium schreef in een bericht. “Gezamenlijk geeft dit aanvallers veel mogelijkheden om volledige controle te krijgen over zeer krachtige apparaten, waardoor ze zich zowel op apparaten achter de LAN-poort als op andere apparaten op internet kunnen richten.”
Omarmd door zowel scriptkiddies als natiestaten
De zorg is verre van theoretisch. Begin 2018 zeiden onderzoekers van beveiligingsbedrijf Kaspersky dat Slingshot, een krachtige malware voor nationale staten die zes jaar onopgemerkt was gebleven, zich aanvankelijk via MikroTik-routers verspreidde. De aanvallen downloadden schadelijke bestanden van kwetsbare routers door misbruik te maken van een MikroTik-configuratiehulpprogramma, bekend als Winbox, dat de payloads van het bestandssysteem van het apparaat naar een aangesloten computer overbracht.
Een paar maanden later ontdekten onderzoekers van beveiligingsbedrijf Trustwave twee malwarecampagnes tegen MikroTik-routers na reverse-engineering van een CIA-tool gelekt in een WikiLeaks-serie die bekend staat als Vault7.
Ook in 2018 meldde het Chinese Netlab 360 dat duizenden MikroTik-routers in een botnet waren geveegd door malware die een kwetsbaarheid aanviel die werd bijgehouden als CVE-2018-14847.
De Eclypsium-onderzoekers zeiden dat CVE-2018-14847 een van de ten minste drie zeer ernstige kwetsbaarheden is die nog niet zijn gepatcht in de met internet verbonden MikroTik-apparaten die ze hebben gevolgd. Gecombineerd met twee andere kwetsbaarheden in Winbox:CVE-2019-3977 en CVE-2019-3978—Eclypsium vond 300.000 kwetsbare apparaten. Zodra hackers een apparaat hebben geïnfecteerd, gebruiken ze het meestal om nieuwe aanvallen uit te voeren, gebruikersgegevens te stelen of deel te nemen aan gedistribueerde denial-of-service-aanvallen.
De onderzoekers hebben een gratis softwaretool die mensen kunnen gebruiken om te detecteren of hun MikroTik-apparaat kwetsbaar of geïnfecteerd is. Het bedrijf geeft ook andere suggesties om de apparaten te vergrendelen. Zoals altijd is de beste manier om een apparaat te beveiligen ervoor te zorgen dat het de nieuwste firmware heeft. Het is ook belangrijk om standaardwachtwoorden te vervangen door sterke en beheer op afstand uit te schakelen, tenzij dit nodig is.
