Exploit Chimay Red: Mikrotik i Ubiquiti tworzą gigantyczny botnet

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19075
Reakcje/Polubienia
55502
Mikrotik i Ubiquiti to producenci bardzo popularnych na całym świecie urządzeń sieciowych. Produkty amerykańskiej (Ubiquiti) i łotewskiej (Mikrotik) firmy są rekomendowane przez setki tysięcy zadowolonych klientów na całym świecie. Administratorzy cenią je sobie za szybkie udostępnianie aktualizacji bezpieczeństwa i bardzo szeroki wachlarz konfiguracji. Z routerów Mikrotik i Ubiquiti chętnie korzystając ISP, które budują na nich sieci szkieletowe. A przecież od infrastruktury IT każdy z nas oczekuje wysokiej niezawodności, przepustowości i ciągłej dostępności. Opłacalność w kategorii całkowitych kosztów eksploatacji (ang. Total Cost of Ownership) to dodatkowy atut przemawiający za tymi urządzeniami. Dzisiejsza zła wiadomość jest taka, że wszystkie Mikrotiki z oprogramowaniem RouterOS do wersji 6.38.4 włącznie (tę wersję OS
Zaloguj lub Zarejestruj się aby zobaczyć!
) są podatne na zdalne zainstalowanie szkodliwego oprogramowania. Przejęte w ten sposób urządzenie może infekować kolejne. Wszystkie razem tworzą ogromny botnet, który atakuje (DDoS) kolejne usługi w Internecie, pozbawiając dostępu użytkowników do zdalnych zasobów.

BOTNET Z URZĄDZEŃ MIKROTIK I UBIQUITI

Zaobserwowane szkodliwe działania botnetu (prawdopodobnie Hajime), który skanuje Internet w poszukiwaniu urządzeń z otwartym portem TCP/8291, wymierzone są też w urządzenia Ubiquiti z oprogramowaniem AirOS lub AirMAX — potwierdzają to dostarczone
Zaloguj lub Zarejestruj się aby zobaczyć!
, która 24 marca zaobserwowała wzmożoną aktywność połączeń na porcie TCP/8291 w swojej globalnej sieci honeypotów:

botnet_mikrotik2.png


W pierwszej fazie przejmowania kontroli nad urządzeniami brzegowymi wykonywane jest „skanowanie Internetu”, które szuka potencjalnie podatnych urządzeń. Opracowany skrypt szuka adresów IP z dostępną usługą na porcie 8291. W tym celu wysyła pakiety SYN bez końcowego ACK — połączenie 3-way handshake nie wysyła jeszcze żadnego ładunku do skanowanego punktu końcowego. Jako że port 8291 jest domyślnym portem do zarządzania routerem przez aplikację Winbox, to właśnie w taki sposób zautomatyzowano wykrywanie routerów Mikrotik. Trzeba jednak założyć pewien margines błędu, że nie wszystkie publiczne adresy IP z portem 8291 są wystawione akurat przez urządzenia firmy Mikrotik.

Największą ilość „podatnych” adresów IP zlokalizowano w Brazylii, Stanach Zjednoczonych i w Iranie. Łącznie było ich ponad 10 000.

botnet_mikrotik3.png


W drugiej fazie ataku, kiedy urządzenie jest już rozpoznane jako „Mikrotik”, za pomocą exploita Chimay Red wykorzystywana jest luka w zabezpieczeniach poprzez port 80, 81, 82, 8080, 8081, 8082, 8089, 8181 lub 8880. Kiedy robak Hajime (stąd nazwa botnetu) zostanie zainstalowany, będzie próbował rozprzestrzenić się na kolejne urządzenia, wykonując dodatkowo ataki brute-force na zabezpieczone hasłem usługi. Ale uwaga!

Zagrożenie czyha nie tylko ze strony botnetu. Dostępny jest
Zaloguj lub Zarejestruj się aby zobaczyć!
korzystający z podatności opracowanych przez CIA. Teraz każdy każdego może zhackować.
Zaloguj lub Zarejestruj się aby zobaczyć!
exploita Chimera Red na routery Mikrotik. Dokument jest jednym z wielu tajnych dokumentów opublikowanych przez WikiLeaks w ramach wycieku „
Zaloguj lub Zarejestruj się aby zobaczyć!
”.
Inny zespół badaczy z Netlab Qihoo 360, który jako pierwszy udostępnił dane o atakach, twierdzi, że botnet Hajime w ostatnich dniach wykonał ponad 860 000 prób skanowania portów. Wśród atakowanych celów znajduje się też prawie 600 urządzeń w Polsce:

botnet_mikrotik4.png


Na forum firmy Mikrotik
Zaloguj lub Zarejestruj się aby zobaczyć!
. Jeden z administratorów tak opisuje atak:

Just tonight we discovered a multitude of RouterOS devices on our network -- mostly customer devices, so far only observed on MIPS architecture -- that appear to be infected with something. The routers themselves are generating hundreds of outbound connections every second to random IP addresses, targeting telnet (TCP port 23), TR-069 (TCP port 7547), and WINBOX!!!! (TCP 8291). I have confirmed that this traffic is not originating from a device on the customers' LANs and then getting NATted...it is coming from the router itself and is successfully blocked using firewall rules in the "output" chain.

Nie należy lekceważyć zagrożenia. Zalecana jest pilna aktualizacja firmware do wersji wyższej niż 6.38.4, a także zmiana domyślnego portu 8291 (lub całkowite wyłączenie dostępu do konfiguracji z zewnątrz).

Przy okazji aktualizacji warto sprawdzić, czy Wasze
Zaloguj lub Zarejestruj się aby zobaczyć!
: HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD / HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD / HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED. Jeżeli tak, to z pewnością nie są poprawnie zabezpieczone.
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry