Araştırmacılar, Letonyalı ağ donanımı firması MikroTik tarafından üretilen yüz binlerce yönlendiricinin, en az bir yıllık ve saldırganlar tarafından operasyonel altyapılarının bir parçası olarak kullanılması muhtemel olan dört sömürülebilir güvenlik açığından en az birine karşı savunmasız kaldığını söylüyor.
Güvenlik firması Eclypsium’dan yeni bir rapor, küçük ofis ve ev-ofis (SOHO) ayarlarında dağıtılan yaklaşık 2 milyon MikroTik yönlendiricinin 1,88 milyonunun – veya %94’ünün – yönlendiricinin yönetim arayüzü Winbox’ın İnternet’e açık olduğunu söylüyor. Eclypsium’un baş siber stratejisti Scott Scheferman, açık bağlantı noktalarının varsayılan ayar olmadığını, bu da kullanıcıların kasıtlı olarak güvenliklerini baltaladığını veya yapılandırmanın cihazların güvenliğinin ihlal edildiğinin bir işareti olduğunu söylüyor.
Bu cihazlar o kadar karmaşıktır ki, çoğu ev kullanıcısı bu ayarları nasıl yapılandıracağını bilemez ve muhtemelen bunu yapmak için hiçbir nedeni olmaz, diyor ve güvenliği ihlal edilmiş cihazlar olarak yönlendiricilerin saldırganlara önemli avantajlar sağladığını ekliyor.
Scheferman, “Hemen hemen her perspektiften, ham yetenek perspektifinden ve işlevsellik açısından yapabileceğiniz çeşitli şeylerden güçlüler – çok kullanışlılar” diyor. “Cihazdan bir ping seli çalıştırabilirsiniz. Tünel ve proxy yapabilirsiniz. DNS’nizi kötü niyetli olarak yapılandırabilirsiniz, böylece kullanıcı bir saldırganın sitesine yönlendirilir. Cevaplanması zor soru, açıkken ne yapamayacağınızdır. Bu cihazlar.”
Savunmasız MikroTik yönlendiricilere odaklanma, birkaç yayından kaldırmanın saldırganların SOHO yönlendiricilerini bir yayından kaldırmanın kesintiye uğramasından kurtulmanın bir yolu olarak kullanma stratejisini tam olarak belirlemesinin ardından geldi. Eclypsium tavsiyesi. Bir yıl önce, ABD Siber Komutanlığı, Trickbot’un altyapısını bozdu, ancak grup, Eclypsium’a göre, Trickboot ürün yazılımı hedefleme modülü kullanılarak güvenliği ihlal edilmiş yönlendiricileri kullanarak ağı yeniden oluşturdu.
Eylül ayında, MikroTik yönlendiricilerden oluşan Meris botnet, Rus arama motoru Yandex de dahil olmak üzere hedeflere yönelik büyük dağıtılmış hizmet reddi saldırıları düzenledi. Cloudflare ve diğer şirketlerden araştırmacılar, Letonya’da “veba” olan Meris’in, güvenliği ihlal edilmiş yaklaşık 250.000 kişiden oluştuğunu tahmin ediyor. MikroTik yönlendiriciler.
Meris, daha iyi bilinen Mirai botnet’ten daha fazla güce sahiptir, Cloudflare araştırmacıları bir analizde belirtti.
“Mirai, düşük hesaplama gücüne sahip IoT cihazlarına bulaşırken, Meris, IoT cihazlarından önemli ölçüde daha yüksek işlem gücüne ve veri aktarım yeteneklerine sahip bir yönlendiriciler sürüsü olup, korunmayan web özelliklerine daha büyük ölçekte zarar vermede onları çok daha güçlü kılmaktadır. gelişmiş bulut tabanlı DDoS azaltma ile” dedi şirket.
Şu anda dağıtılan MikroTik yönlendiricilerin güvenlik açığının kapsamı net olmasa da Eclypsium, ikisi 2018’de ve ikisi 2019’da açıklanan dört bilinen güvenlik açığının mevcut yönlendiricilerden yararlanmak için kullanılabileceğine dair işaretler aradı. Örneğin, 2019’da bildirilen iki güvenlik açığı, MikroTik’in işletim sisteminin oldukça yeni bir sürümünü çalıştıranlar da dahil olmak üzere, güvenliği ihlal edilmiş yama uygulanmamış yönlendiriciler için kullanılabilirken, diğer ikisi çok daha eski olanları etkiledi.
MikroTik, “Maalesef eski güvenlik açığını kapatmak bu yönlendiricileri hemen korumaz” dedi. Meris botnet keşfinin ardından Eylül ayında yapılan bir açıklama. “2018’de birisi şifrenizi aldıysa, sadece yükseltme yardımcı olmaz. Ayrıca şifreyi değiştirmeniz, güvenlik duvarınızı bilinmeyen taraflara uzaktan erişime izin vermiyorsa yeniden kontrol etmeniz ve oluşturmadığınız komut dosyalarını aramanız gerekir.”
SSH’ye Açık
İnternet taramasında Eclypsium araştırmacıları, ortak bir uzaktan erişim bağlantı noktasına (Güvenli Kabuk veya SSH) sahip 225.000 yönlendiricinin İnternet’e açık olduğunu keşfettiler, 287.000 yönlendiricinin ise işletim sisteminin daha eski, algılanabilir sürümlerini çalıştırdığı görülüyor ve bu nedenle , sömürüye açıktır. Scheferman, iki faktörün en az 300.000 MikroTik yönlendiricinin ya istismar edildiğini ya da kolaylıkla istismar edilebileceğini gösterdiğini söylüyor.
Scheferman, “Saldırganlar, bu 2019 güvenlik açıklarını işletim sistemini düşürmek ve sürecin yapılandırmasını bu hizmetlerin internetle karşı karşıya kalmasını sağlamak için zorlamak için kullanabilir” diyor. “Bu toplu olarak veya komut dosyası yoluyla yapılabilir.”
Eclypsium, kullanıcıların savunmasız olup olmadıklarını ve virüs bulaşıp bulaşmadıklarını tespit etmelerine yardımcı olacak bir araç yarattı. Alet, Meris RouterOS Denetleyicisi, yöneticilerin yönlendiricinin dört güvenlik açığına karşı savunmasız olup olmadığını kontrol etmek, güvenliği ihlal edilmiş kimlik bilgileriyle oturum açmayı denemek ve bilinen güvenlik ihlali göstergeleri için cihazı kontrol etmek için bir saldırgan rolünü üstlenmesine olanak tanır.
Eclypsium araştırmacıları danışma belgesinde, “Bu cihazların bu kadar büyük bir yüzdesinin uzun yıllar boyunca savunmasız bir durumda olduğu göz önüne alındığında, ‘eski’ – savunmasız – cihazları bulmak yeterli değil, ” dedi. “Bunun yerine, saldırganların kullandığı taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) aynısını kullanmamız gerekiyor. Belirli bir cihazın güvenliğinin ihlal edilip edilmediğini keşfetmemiz ve yama yapılıp yapılmadığını belirlememiz gerekiyor.”