Официальное заявление MikroTik о ботнете Mēris
Дата: 11.10.2021
В начале сентября 2021 года компания QRATOR labs опубликовала статью о новой волне DDoS-атак, производимых из ботнета, затрагивающего устройства MikroTik.
Насколько стало известно производителю, в этих атаках задействованы те же самые маршрутизаторы, взломанные ещё в 2018 году, когда в MikroTik RouterOS имелась уязвимость, которая была быстро устранена.
В RouterOS не обнаружено новой уязвимости и вредоносных программ, скрывающихся внутри её файловой системы даже на поражённом оборудовании. Злоумышленник перенастраивает устройства RouterOS для удалённого доступа, используя команды и функции самой RouterOS.
К сожалению, закрытие старой уязвимости не сразу защищает данные маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, перепроверить свой брандмауэр, чтобы он не разрешал удалённый доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.
Представители производителя пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не откликнулись и не следят внимательно за состоянием своих устройств. Сейчас MikroTik ищет и другие решения.
На данный момент в этих устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими сторонними организациями.
Лучший план действий по защите оборудования
|
Совместно с независимыми аналитиками в области информационной безопасности производитель обнаружил вредоносную программу, которая пытается изменить конфигурацию пользовательского устройства MikroTik через компьютер Windows в сети пользователя. Именно поэтому важно незамедлительно установить более надёжный пароль (для предотвращения беспарольного входа в систему или словарной атаки этого вредоносного ПО) и поддерживать маршрутизатор MikroTik в обновлённом состоянии (учитывая, что данный вредоносный софт также пытается использовать упомянутую уязвимость CVE-2018-14847, которая давно устранена).
Системная конфигурация, которую необходимо найти и удалить:
- система (System) ⇒ правила планировщика (Scheduler), которые выполняют сценарий Fetch;
- IP ⇒ прокси-сервер SOCKS (если вы не используете эту функцию или не знаете, зачем она нужна, её необходимо отключить);
- клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP;
- входное правило брандмауэра, разрешающее доступ через порт 5678.
Также можно обратиться к своему провайдеру для блокировки следующих адресов, к которым подключаются нижеуказанные вредоносные скрипты. Заблокируйте конечные точки туннеля в доменах: |
|||||
*.eeongous.com | *.leappoach.info | *.mythtime.xyz | |||
Заблокируйте эти сценарии загрузки в доменах: |
|||||
|
|
|
|||
По сообщениям других пользователей в Интернете, ботнетом также используются следующие домены: |
|||||
|
|
|