Eylül 2021’in başlarında QRATOR laboratuvarları, MikroTik cihazlarını içeren bir botnet’ten kaynaklanan yeni bir DDoS saldırıları dalgası hakkında bir makale yayınladı.
Gördüğümüz kadarıyla bu saldırılar, MikroTik RouterOS’un bir güvenlik açığına sahip olduğu 2018’de tehlikeye atılan ve hızla yamalanan yönlendiricilerin aynısını kullanıyor.
RouterOS’ta yeni bir güvenlik açığı yoktur ve etkilenen cihazlarda bile RouterOS dosya sisteminin içinde saklanan hiçbir kötü amaçlı yazılım yoktur. Saldırgan, RouterOS’un komutlarını ve özelliklerini kullanarak RouterOS cihazlarını uzaktan erişim için yeniden yapılandırıyor.
Ne yazık ki eski güvenlik açığının kapatılması bu yönlendiricileri hemen korumaz. Birisi 2018’de şifrenizi ele geçirdiyse, yalnızca yükseltmenin bir faydası olmayacaktır. Ayrıca şifreyi değiştirmeniz, bilinmeyen tarafların uzaktan erişimine izin vermiyorsa güvenlik duvarınızı yeniden kontrol etmeniz ve kendi oluşturmadığınız komut dosyalarını aramanız gerekir.
Bu konuda RouterOS’un tüm kullanıcılarına ulaşmaya çalıştık ancak birçoğu MikroTik ile hiç temas kurmamış ve cihazlarını aktif olarak izlemiyor. Başka çözümler üzerinde de çalışıyoruz.
Bu cihazlarda yeni bir güvenlik açığı bulunmuyor. RouterOS yakın zamanda birkaç üçüncü tarafça bağımsız olarak denetlenmiştir.
En iyi eylem planı:
- Düzenli yükseltmelerle MikroTik cihazınızı güncel tutun.
- Cihazınıza internet üzerinden erişim herkese açmayın, uzaktan erişime ihtiyacınız varsa sadece IPsec gibi güvenli bir VPN hizmeti açın.
- Güçlü bir şifre kullanın ve kullansanız bile hemen değiştirin!
- Yerel ağınızın güvenilir olabileceğini varsaymayın. Kötü amaçlı yazılımlar, zayıf bir parolanız varsa veya parolanız yoksa yönlendiricinize bağlanmayı deneyebilir.
- RouterOS yapılandırmanızda bilinmeyen ayarlar olup olmadığını inceleyin (aşağıya bakın).
Bağımsız güvenlik araştırmacılarıyla işbirliği yaparak, MikroTik cihazınızı ağınızdaki bir Windows bilgisayardan yeniden yapılandırmaya çalışan kötü amaçlı yazılımların bulunduğunu tespit ettik. Bu nedenle, şimdi daha iyi bir şifre belirlemeniz (şifresiz oturum açmayı veya bu kötü amaçlı yazılımın sözlük saldırısını önlemek için) ve MikroTik yönlendiricinizi güncel tutmanız önemlidir (çünkü bu kötü amaçlı yazılım aynı zamanda uzun süredir devam eden söz konusu CVE-2018-14847 güvenlik açığından yararlanmaya çalışmaktadır). düzeltildi).
Dikkat edilecek ve kaldırılacak yapılandırma:
- Sistem -> Bir Fetch betiğini çalıştıran Zamanlayıcı kuralları. Bunları kaldırın.
- IP -> Çorap proxy’si. Bu özelliği kullanmıyorsanız veya ne işe yaradığını bilmiyorsanız devre dışı bırakılmalıdır.
- “lvpn” adlı L2TP istemcisi veya tanımadığınız herhangi bir L2TP istemcisi.
- 5678 numaralı bağlantı noktasına erişime izin veren güvenlik duvarı kuralını girin.
Bu kötü amaçlı komut dosyalarının bağlandığı aşağıdaki adresleri engellemek için İSS’lerinizle de çalışabilirsiniz:
Bu tünel uç noktası etki alanlarını engelleyin:
- *.eeongous.com
*.leappoach.info
*.mythtime.xyz
Bu komut dosyası indirme alan adlarını engelleyin:
- 1abcnews.xyz
1awesome.net
7standby.com
audiomain.website
bestony.club
ciskotik.com
cloudsond.me
dartspeak.xyz
fanmusic.xyz
gamedate.xyz
globalmoby.xyz
hitsmoby.com
massgames.space
mobstore.xyz
motinkon.com
my1story.xyz
myfrance.xyz
phonemus.net
portgame.website
senourth.com
sitestory.xyz
spacewb.tech
specialword.xyz
spgames.site
strtbiz.site
takebad1.com
tryphptoday.com
wchampmuse.pw
weirdgames.info
widechanges.best
zancetom.com
İnternetteki başkaları tarafından da bildirildiği üzere bu alanlar aynı zamanda botnet tarafından da kullanılıyor:
- bestmade.xyz
gamesone.xyz
mobigifs.xyz
myphotos.xyz
onlinegt.xyz
picsgifs.xyz