MikroTik делится информацией о защите маршрутизаторов, пострадавших от массового ботнета Mēris

17
Транснациональная мошенническая сеть украла миллионы у военнослужащих и ветеранов

Латвийский производитель сетевого оборудования MikroTik поделился подробностями о том, как клиенты могут защитить и очистить маршрутизаторы, скомпрометированные массивным ботнетом Mēris DDoS в течение лета.

«Насколько мы видели, в этих атаках используются те же маршрутизаторы, которые были взломаны в 2018 году , когда в MikroTik RouterOS была обнаружена уязвимость, которая была быстро исправлена», — сказал представитель MicroTik.

«К сожалению, закрытие уязвимости не обеспечивает немедленной защиты этих маршрутизаторов. Если кто-то получил ваш пароль в 2018 году, просто обновление не поможет.

«Вы также должны изменить пароль, повторно проверить свой брандмауэр, если он не разрешает удаленный доступ неизвестным сторонам, и искать сценарии, которые вы не создавали».

В Meris ботнет был за два рекордно объемном DDoS — атаки в этом год.

Первый из них, смягченный Cloudflare в августе, достиг 17,2 миллиона запросов в секунду (RPS). Второй из них достиг беспрецедентной скорости в 21,8 миллиона запросов в секунду, когда в начале этого месяца обрушился на серверы российского интернет-гиганта Яндекс.

По словам исследователей Qrator Labs, которые предоставили подробную информацию об атаке Яндекса, Mēris — ботнет, созданный на основе вредоносного кода Mirai — в настоящее время контролирует примерно 250 000 устройств, большинство из которых являются сетевыми шлюзами и маршрутизаторами MikroTik.

Исследователи также добавили, что хосты, скомпрометированные Мерисом, — это «не типичный блинкер Интернета вещей, подключенный к Wi-Fi», а высокопроизводительные устройства, подключенные к Интернету через соединение Ethernet.

История атак Мерис на сеть Яндекса началась в начале августа с DDpS-атаки на 5,2 миллиона запросов в секунду и продолжала расти:

  • 2021-08-07 — 5,2 миллиона RPS
  • 2021-08-09 — 6,5 млн RPS
  • 2021-08-29 — 9,6 млн RPS
  • 2021-08-31 — 10,9 млн. RPS
  • 2021-09-05 — 21,8 млн. RPS

Как обезопасить и очистить роутер MikroTik

MikroTik также поделился информацией о том, как очистить и защитить шлюзы, скомпрометированные этим ботнетом, в опубликованном сегодня сообщении в блоге .

Производитель сетевого оборудования призывает клиентов выбирать надежные пароли, которые должны защищать их устройства от атак грубой силы и поддерживать их в актуальном состоянии, чтобы блокировать эксплойты CVE-2018-14847 Winbox, которые, по словам MikroTik, вероятно, используются ботнетом Mēris.

Компания наметила наилучший план действий, который включает следующие шаги:

  • Регулярно обновляйте свое устройство MikroTik.
  • Не открывайте доступ к своему устройству со стороны Интернета для всех, если вам нужен удаленный доступ, откройте только безопасную службу VPN, например IPsec.
  • Используйте надежный пароль, и даже если вы это сделаете, измените его сейчас же!
  • Не думайте, что вашей локальной сети можно доверять. Вредоносное ПО может попытаться подключиться к вашему маршрутизатору, если у вас ненадежный пароль или его нет.
  • Проверьте конфигурацию RouterOS на наличие неизвестных настроек.

Настройки, которые вредоносная программа Mēris может установить при перенастройке скомпрометированных маршрутизаторов MicroTik, включают:

  • Система -> Правила планировщика, которые выполняют сценарий Fetch. Удалите это.
  • IP -> Socks прокси. Если вы не используете эту функцию или не знаете, что она делает, ее необходимо отключить.
  • Клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP.
  • Введите правило брандмауэра, разрешающее доступ к порту 5678.

«Мы попытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них никогда не контактировали с MikroTik и не осуществляют активного мониторинга своих устройств. Мы работаем и над другими решениями», — добавил MikroTik.

«Насколько нам известно прямо сейчас — в этих устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими подрядчиками».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь