Bagaimana Router MikroTik Menjadi Target Cybercriminal

Router yang dimanfaatkan oleh botnet Mēris dalam serangan penolakan layanan (DDoS) terdistribusi besar-besaran terhadap raksasa internet Rusia Yandex juga telah menjadi platform tanpa disadari untuk berbagai serangan siber, menurut temuan para peneliti. Hal ini disebabkan oleh keadaan rentan yang terus-menerus yang sulit untuk diperdebatkan oleh organisasi, tetapi mudah untuk dieksploitasi oleh pelaku ancaman, kata mereka. -things (IoT) perangkat dari perusahaan MikroTik yang berbasis di Latvia, yang berjumlah sekitar 2 juta dalam penerapan.

Karena banyaknya perangkat yang digunakan, daya tinggi mereka dan banyak kerentanan yang diketahui di dalamnya, pelaku ancaman telah menggunakan perangkat MikroTik selama bertahun-tahun sebagai pusat komando untuk meluncurkan berbagai serangan, kata para peneliti.

Permukaan Serangan MikroTik

Peneliti Eclypsium mulai mengeksplorasi bagaimana dan mengapa persenjataan perangkat MikroTik pada bulan September, berdasarkan penelitian sebelumnya tentang bagaimana pelaku ancaman TrickBot menggunakan router yang disusupi sebagai perintah-dan -kontrol (C2) infrastruktur. Analis Eclypsium menemukan bahwa TrickBot juga dapat menggunakan kembali infrastruktur MikroTik setelah US Cyber ​​Command berhasil mengganggu infrastruktur utamanya.

“Ini membuat kami ingin lebih memahami permukaan serangan MikroTik dan bagaimana penyerang dapat menggunakannya setelah disusupi,” tulis mereka.

Selain kekuatannya, salah satu alasan utama perangkat MikroTik sangat populer di kalangan penyerang adalah karena perangkat tersebut, seperti banyak perangkat SOHO dan IoT, rentan di luar kotak. Mereka sering datang dengan kredensial default admin/kata sandi kosong, dan bahkan perangkat yang ditujukan untuk lingkungan perusahaan datang tanpa pengaturan default untuk port WAN, tulis para peneliti.

Selain itu, perangkat MikroTik sering kehilangan patch firmware penting karena fitur peningkatan otomatis mereka. jarang dihidupkan, “artinya banyak perangkat tidak pernah diperbarui,” menurut Eclypsium.

Ini memungkinkan CVE yang berasal dari 2018 dan 2019 — salah satunya digunakan oleh serangan Yandex — untuk tetap tidak ditambal di banyak perangkat dan matang untuk dieksploitasi, kata para peneliti. Bug yang dilacak sebagai CVE-2019-3977, CVE-2019-3978, CVE-2018-14847, dan CVE-2018-7445 semuanya dapat menyebabkan eksekusi kode jarak jauh (RCE) yang telah diautentikasi sebelumnya — dan pengambilalihan perangkat sepenuhnya.

MikroTik perangkat juga memiliki “antarmuka konfigurasi yang sangat kompleks” yang mengundang kesalahan mudah dari mereka yang menyiapkannya, yang memungkinkan penyerang untuk dengan mudah menemukan dan menyalahgunakannya melalui internet, kata para peneliti.

Multiple Cyberattack Scenarios

“Kemampuan yang ditunjukkan dalam serangan ini harus merah bendera untuk tim keamanan perusahaan,” tulis para peneliti dalam laporan yang diterbitkan Kamis. “Kemampuan router yang disusupi untuk menyuntikkan konten berbahaya, terowongan, menyalin, atau merutekan ulang lalu lintas dapat digunakan dalam berbagai cara yang sangat merusak.”

Ini termasuk penggunaan keracunan DNS untuk mengalihkan koneksi pekerja jarak jauh ke situs web berbahaya atau memperkenalkan mesin -serangan di tengah; penggunaan teknik dan alat terkenal untuk berpotensi menangkap informasi sensitif atau mencuri kredensial otentikasi dua faktor (2FA); tunneling lalu lintas perusahaan ke lokasi lain; atau penyuntikan konten berbahaya ke dalam lalu lintas yang valid, kata para peneliti.

Kemudian ada serangan botnet Mēris — yang terjadi segera setelah Eclypsium memulai penelitiannya. Permintaan yang digunakan dalam serangan perpipaan HTTP DDoS pada raksasa internet Rusia Yandex pada bulan September berasal dari peralatan jaringan MikroTik, dengan penyerang mengeksploitasi bug 2018 yang belum ditambal di lebih dari 56.000 host MikroTik yang terlibat dalam insiden tersebut.

And, Eclypsium juga menemukan sekitar 20.000 perangkat dengan proxy terbuka, yang menyuntikkan skrip penambangan kripto yang berbeda ke dalam halaman web.

“Perangkat ini sangat kuat, dan seperti yang ditunjukkan oleh penelitian kami, seringkali sangat rentan,” catat mereka, menambahkan bahwa perangkat MikroTik, selain melayani lingkungan SOHO, adalah biasa digunakan oleh jaringan Wi-Fi lokal, yang juga menarik perhatian penyerang, tulis mereka.

Threatpost telah menghubungi MikroTik untuk mengomentari temuan dan kesimpulan para peneliti.

Alat untuk Mengurangi Risiko

Peneliti menggunakan kueri Shodan untuk membangun kumpulan data 300.000 IP alamat rentan terhadap setidaknya satu dari eksploitasi RCE yang disebutkan di atas dan juga dilacak secara geografis di mana d perangkat ditemukan, menemukan bahwa mereka “sangat tersebar luas,” tulis mereka. Para peneliti menemukan bahwa Cina, Brasil, Rusia, Italia, dan Indonesia memiliki perangkat yang paling rentan, dengan Amerika Serikat berada di urutan delapan dalam daftar.

Eclypsium telah menciptakan alat yang tersedia secara gratis yang memungkinkan administrator jaringan untuk menguji kerentanan perangkat mereka, dalam tiga cara: Identifikasi perangkat MikroTik dengan CVE yang memungkinkan perangkat diambil alih; mencoba masuk dengan daftar kredensial default yang diberikan; dan periksa indikator penyusupan botnet Mēris.

Alat ini bekerja di seluruh protokol SSH, WinBox, dan HTTP API, yang semuanya digunakan oleh malware Mris, kata para peneliti. Eclypsium merekomendasikan agar perusahaan yang menggunakan alat ini hanya mencoba masuk ke perangkat MikroTik yang mereka miliki dan bertanggung jawab atas tindakan mereka.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

Daftar SEKARANG untuk acara LANGSUNG!

 
Tulis komentar
Bagikan artikel ini:

  • IoTliu

    <

    ul>iMalwareliu

    <

    ul>iKeamanan Selulerliu

    <

    ul>iKerentananliu

      iKeamanan Web