DDoS-Angriff
Botnet Angriff auf MikroTik Router könnte große DDoS-Attacke vorbereiten
Sorge um großangelegte DDoS-Attacke
Ein neu entdecktes Botnet zielt auf den TCP-Port 8291 von MikroTik Routern ab. MikroTik ist ein lettischer Hardwarehersteller, dessen Produkte auf der ganzen Welt verwendet werden. Nun wurde ein neues Botnet entdeckt das Sicherheitslücken in dem RouterOS-Betriebssystem ausnutzt und es Angreifern ermöglicht, bestimmten Code auf dem Gerät per Fernzugriff auszuführen.
Das Emergency Response Team (ERT) von Radware hat nach der Veröffentlichung von Kaspersky über die Slingshot APT-Malware, die MikroTik-Router infizierte, eine Zunahme von bösartigen Aktivitäten festgestellt . Es wird angenommen, dass dieses Botnet Teil des Hajime -Botnetzes ist. Die Security Experten von Radware konnten den Verbreitungsmechanismus beobachten, der zudem über Port 8291 hinausgeht und weitere andere Geräte außer MikroTik (wie AirOS / Ubiquiti) schnell infiziert. Die Sorge ist, dass dieses neue Botnet dazu genutzt wird, um großangelegte DDoS-Angriffe zu starten.
Sicherheitsanfälligkeit in RouterOS
RouterOS ist ein auf dem Linux-Kernel basierendes Betriebssystem, das Funktionalitäten implementiert, die normalerweise von ISPs verwendet werden, wie BGP, IPv6, OSPF oder MPLS. RouterOS wird von MikroTik und seiner Benutzergemeinschaft unterstützt und bietet eine Vielzahl von Konfigurationsbeispielen. RouterOS ist in die RouterBOARD-Produktlinie von MikroTik eingebettet, die sich auf kleine und mittelgroße Internet-Zugangsanbieter konzentriert, die typischerweise Breitband-Zugang in abgelegenen Gebieten bieten. Eine vorläufige Analyse deutet darauf hin, dass das Botnet bekannte Schwachstellen von Mikrotik (HTTP, SMB) sowie das Brute-Forcing von Passwörtern ausnutzt. Der Wurm verfügt über einen hocheffizienten Verbreitungsmechanismus, indem er aggressiv nach Port 8291 sucht, um öffentlich verfügbare MikroTik-Geräte zu identifizieren und die Passwort-Cracking-Funktionen zu nutzen, um anschließend Nachbargeräte zu infizieren.
Mikrotik RouterOS SMB Puffer-Überlauf
Bei der Verarbeitung von NetBIOS-session request messages tritt im MikroTiks RouterOS-SMB-Dienst ein Pufferüberlauf auf. Remote-Angreifer, die diese Sicherheitsanfälligkeit ausnutzen, können bösartigen Code auf dem System ausführen. Da der Überlauf vor der Authentifizierung auftritt, kann ihn so ein nicht authentifizierter Remoteangreifer problemlos ausnutzen .
ChimayRed HTTP Exploit
Die auf dem Remote-Host ausgeführte MikroTik RouterOS-Software ist aufgrund einer fehlerhaften Überprüfung der vom Benutzer eingegebenen Eingaben von einem Fehler im HTTP-Webserverprozess betroffen. Ein nicht authentifizierter Remoteangreifer erstellt eine POST-Anforderung zum Schreiben von Daten an einen beliebigen Speicherort innerhalb des Webserverprozesses, was zu einer Denial-of-Service-Bedingung oder der Ausführung von beliebigem Code führt.
Infektionsmethode
Am 24.03.2018 konnte das Radware ERT-Forschungsteam einen enormen Anstieg der Aktivität für den TCP-Port 8291 in seinem globalen Honeypot-Netzwerk feststellen. Nach monatelanger Aktivität war Radware Zeuge von über 10.000 einzigartigen IPs, die Port 8291 an einem einzigen Tag erreichten. Der Wurm scannt aggressiv das Internet mit SYN-Paketen zu Port 8291, aber er stellt niemals tatsächlich einen 3-Wege-Handshake an diesem Port her, z.B. wird keine Nutzlast an den Port gesendet. Es scheint, als nutze der Wurm diese Stealth-SYN-Scan-Methode, um verwundbare MikroTik-Geräte schnell zu identifizieren, da dieser Port fast ausschließlich von der MikroTik RouterOS-Plattform verwendet wird. Zusätzlich zum Scannen von Port 8291 zielt der Wurm auf die folgenden Ports ab: 80, 81, 82, 8080, 8081, 8082, 8089, 8181, 8880.
Der Wurm verwendet den ChimayRed- Exploit, der auf verwundbare Webserver auf mit MikroTik-Geräten abzielt. Der Wurm versucht dabei, die bösartigen Nutzdaten an Port 80 sowie an andere zuvor beschriebene Ports zu senden (80 81 82 8080 8081 8082 8089 8181 8880). Die Erfolgsrate des Wurms ist dabei sehr hoch. Dies bedeutet auch, dass der Wurm Exploits sowie Brute-Forcing-Versuche von Passwörtern in der Nähe von Nachbarn nutzt, um die Infektionsrate zu beschleunigen. MikroTik empfiehlt, die Ports 80/8291 (Web/Winbox) zu überwachen und die RouterOS-Geräte auf v6.41.3 (oder mindestens v6.38.5) zu aktualisieren.
