Milhares de routers da marca MicroTik foram comprometidos e ativado o proxy Socks4 de forma maliciosa, o que permitiu aos atacantes observar ativamente o tráfego na rede; isto, já desde meados de julho.
A vulnerabilidade em questão trata-se do Winbox Any Directory File Read (CVE-2018-14847), ou seja, a possibilidade de leitura de qualquer ficheiro de qualquer diretório do Winbox, e ainda uma execução de código remota no Webfig. Tanto o Winbox como o Webfig são componentes de gestão do SO do router, com as respetivas portas TCP/8291, TCP/80, e TCP/8080. O primeiro é desenhado para os users do Windows facilmente configurarem os routers através do download de DLL's pelo router e para os executar no sistema.
O que esta vulnerabilidade permite fazer mais concretamente é por exemplo a injeção de código pertencente ao CoinHive, ativar o proxy Socks4 e ainda espiar as vítimas. Para poder injetar o código para minerar moedas, primeiro o HTTP Proxy é ativcado, depois os atacantes redirecionam os requests do proxy HTTP para uma página de erro 403 HTTP, página esta que depois injeta um link para minar código do Coinhive.
- Ativação do proxy Socks4 - é ativado na porta tcp 4153 do dispositivo das vítimas, o que permite que os atacantes obtenham o controlo do dispositivo mesmo que tenha sido reiniciado (o que faria, em situações normais, a mudança do IP - DHCP), devido ao facto de o dispositivo reportar, com frequência, os últimos endereços de IP ao URL do atacante.
- Espiar - os atacantes estão a redirecionar o tráfego dos routers comprometidos para endereços IP por eles controlados. Eavesdropping on Victims — Since the MikroTik RouterOS devices allow users to capture packets on the router and forward them to the specified Stream server, attackers are forwarding the traffic from compromised routers to IP addresses controlled by them.
Os investigadores verificaram também que as portas de SNMP (Simple Network Management Protocol) estão no topo da lista, 161 e 162. Tal facto coloca algumas questões, como o porquê de os atacantes prestarem atenção a um protocolo de gestão de rede que os utilizadores raramente usam.
As vítimas estão espalhadas pelo mundo, sendo o país mais afetado a Rússia.
Como se proteger?
- Aplicar o patch no produto.
-Verificar se o proxy Socks4 e a função de captura do tráfego de rede estão a ser explorados
