300 bin Mikrotik cihazı zaafiyetlere karşı savunmasız kaldı!
MikroTik cihazlarıyla ilişkili en az 300.000 IP adresinin, popüler yönlendiriciler ve kablosuz ISP cihazları tedarikçisi tarafından o zamandan beri yamalanan birden fazla uzaktan istismar edilebilir güvenlik açığına karşı savunmasız olduğu bulundu.
Siber güvenlik şirketi Eclypsium, The Hacker News ile paylaşılan bir raporda,
en çok etkilenen cihazların Çin, Brezilya, Rusya, İtalya, Endonezya'da bulunduğunu ve ABD'nin sekizinci sırada geldiğini söyledi.
Araştırmacılar, "Bu cihazlar hem güçlü hem de genellikle oldukça savunmasız" dedi. "Bu, MikroTik cihazlarını DDoS saldırıları,
komuta ve kontrol (aka 'C2'), trafik tüneli ve daha pek çok şey için cihazlara el koyan tehdit aktörleri arasında favori haline getirdi."
MikroTik cihazları cazip bir hedef çünkü dünya çapında iki milyondan fazla konuşlandırılmış ve tehdit aktörleri tarafından bir dizi izinsiz giriş yapmak için kullanılabilecek devasa bir saldırı yüzeyi oluşturuyor.
Gerçekten de, bu Eylül ayının başlarında, Mikrotik'ten ağ cihazlarını bir saldırı vektörü olarak kullanarak Rus internet şirketi Yandex'e karşı rekor kıran dağıtılmış hizmet reddi (DDoS) saldırısı düzenleyen Mēris adlı yeni bir botnet'in raporları ortaya çıktı. işletim sistemindeki güvenlik açığını ele aldı (CVE-2018-14847).
Bu, MikroTik yönlendiricilerin gerçek dünya saldırılarında ilk kez silahlandırılması değil. 2018'de siber güvenlik firması Trustwave, yüz binlerce yama uygulanmamış MikroTik yönlendiriciyi kendilerine bağlı bilgisayarlara gizlice kripto para madenciliği kurmak için kullanan en az üç büyük kötü amaçlı yazılım kampanyası keşfetti.
Aynı yıl, Çinli Netlab 360, ağ trafiğini gizlice dinlemek için CVE-2018-14847'den yararlanarak binlerce savunmasız MikroTik yönlendiricinin gizlice bir botnet'e bağlandığını bildirdi.
"Bir saldırgan, WiFi üzerinden SMS kullanarak uzak bir kullanıcıdan MFA kimlik bilgilerini çalmak gibi hassas bilgileri potansiyel olarak yakalamak için iyi bilinen teknikleri ve araçları kullanabilir. Önceki saldırılarda olduğu gibi, kurumsal trafik başka bir konuma tünellenebilir veya geçerli trafiğe kötü amaçlı içerik enjekte edilebilir. ," araştırmacılar ekledi.
MikroTik yönlendiriciler, bir botnet'e dahil edilen tek cihaz değildir. Fortinet'ten araştırmacılar bu hafta Moobot botnet'in Hikvision video gözetim ürünlerinde (CVE-2021-36260) bilinen bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanarak ağını nasıl büyüttüğünü ve dağıtılmış reddetmeyi başlatmak için güvenliği ihlal edilmiş cihazları nasıl kullandığını açıkladı. hizmet (DDoS) saldırıları.
Ayrı bir raporda, kurumsal siber güvenlik firması, Manga diğer adıyla Dark Mirai olarak bilinen bir botnet operatörlerinin, TP-Link yönlendiricilerini ve ortaklarını ele geçirmek için yakın zamanda açıklanan bir kimlik doğrulama sonrası uzaktan kod yürütme güvenlik açığını (CVE-2021-41653) aktif olarak kötüye kullandıklarını söyledi.