Mēris Botnet

Niedawno miał miejsce atak DDoS na bardzo dużą skalę, według analizy Qrator dużą role odegrały urządzenia Mikrotik. Na podstawie ustaleń producenta większość routerów biorących udział w ataku, to te same urządzenia, które zostały skompromitowane w 2018, wykorzystując ówczesna podatność w Winboxie. Nie znaleziono żadnych nowych podatności, także posiadacze najnowszych wersji RouterOS mogą być spokojni.

Pomimo tego, że producent dość szybko załatał podatności, to wygląda na to, że sporo osób nie zaktualizowało swojego urządzenia bądź ponownie wykorzystała to samo hasło. Jeżeli wasz router został skompromitowany, to hasła, które tam używaliście także. Nie wolno już go wam użyć, NIGDZIE.
Wykradzione hasła mogą posłużyć do prób ataków typu brute force na nowe urządzenie i tym sposobem pomimo tego, że macie najnowszą wersje RouterOS, urządzenie zostanie dołączone do botnetu. Najlepszym sposobem zapanowania nad hasłami jest używanie menedżera haseł.

Czy mój router należy do botnetu?

Po udanym przejęciu routera, cyberprzestępcy mogą dowolnie zmienić waszą konfigurację. Czasami router służy jako koparka kryptowalut, a czasami zostaje dodany do botnetu. O ile pierwsza opcja może jedynie znacząco obniżyć wydajność sprzętu, to już druga może wiązać się poważnymi konsekwencjami. Urządzenia w botnecie nazywane są „zombie”, może minąć sporo czasu zanim zostaną wykorzystane przez cyberprzestępców dlatego w pierwszej kolejności należy sprawdzić poniższe ustawienia:

• System -> Scheduler: sprawdź czy nie ma żadnych reguł, które pobierają skrypty z Internetu bezpośrednio na Twój router. Domyślnie Scheduler jest pusty, jeżeli nie jesteś pewnie co dana reguła może robić, to ją wyłącz.
• IP -> Socks proxy. Jeżeli nie używasz Mikrotika jako proxy, to koniecznie upewnij się, że Socks jest wyłączone. Podobnie jak wyżej, tak opcja domyślnie jest wyłączona.
• L2TP client o nazwie „lvpn” bądź każdy inny, który wydaje Ci się podejrzany i nie został utworzony przez Ciebie, czy innego admina,
• Sprawdź ustawienia firewalla czy przypadkiem nie ma reguły z chain INPUT na port 5678.

Oprócz własnej konfiguracji zabezpieczeń routera, skontaktuj się z dostawcą internetu ISP, w celu zablokowania stron z których pobierany jest złośliwy skrypt. Listę domen znajdziesz pod tym linkiem.

Zabezpiecz router

Dbanie o bezpieczeństwo, to proces ciągły, pamiętaj o tym. Warto co jakiś czas sprawdzać co pojawiło się nowego w ustawienia. Nowe „ficzery”, czasami zamiast zwiększać, to obniżają poziom bezpieczeństwa. Podobnie jaki i u innych producentów sprzętu sieciowego możemy znaleźć kilka CVE dotyczących Mikrotika i RouterOS’a. Jakiś czas temu przygotowałem 15 punktów poprawiających bezpieczeństwo RouterOS’a, lista dalej jest aktualna, dlatego warto się z nią zapoznać. Na co na pewno warto zwrócić uwagę:

• Staraj się zawsze korzystać z najnowszej wersji oprogramowania RouterOS. Wersje możesz sprawdzić przez System->Packages bądź po przejściu na oficjalną stronę Mikrotika
• Nie wystawiaj Mikrotika na świat. Pamiętaj, że jest Shodan, który pozwala na wyszukiwanie urządzeń w sieci, z dokładnością do wersji RouterOS’a.
• Ogranicz dostęp do routera tylko dla konkretnych adresów IP, jeżeli potrzebujesz dostępu zdalnego do Mikrotika, skonfiguruj go za pośrednictwem VPN, ale nie używaj PPP, użyj IPSec albo L2TP z kluczem IPSec 
• Zmień domyślną nazwę użytkownika z admin na dowolnie inną i hasło wygeneruj z menedżer haseł.

Pamiętaj o sieci LAN

Przejęte urządzenie może być furtką do dalszego rekonesansu w sieci lokalnej co w rezultacie prowadzi do kolejnych infekcji już nie tylko sprzętu sieciowego ale przede wszystkim komputerów. Z pewnością nie muszę Ci tłumaczyć jakie skutki ma skuteczny atak ransomware. Dlatego tak ważnym aspektem jest bieżący monitoring i aktualizacje wszystkich komponentów w sieci lokalnej.