MikroTik-Router patchen, Angriffe erfolgen

Benutzer von Mikrotik-Routern sollten deren Firmware dringend aktualisieren. Denn eine vor zwei Tagen bekannt gewordene Sicherheitslücke wird bereits für Angriffe ausgenutzt.

Sicherheitslücke bekannt, Update verfügbar

Vor zwei Tagen hatte ich im Artikel Mikrotik-Router: Sicherheitslücke im Winbox-Port über eine Sicherheitslücke in Routern des Anbieters Mikrotik berichtet. Die Schwachstelle wurde von Mikrotik entdeckt und betrifft alle RouterOS-Versionen seit v6.29 bis zur Version .43rc3. Die Sicherheitslücke erlaubte es einem speziellen Tool, sich mit dem Winbox-Port zu verbinden und die Datenbankdatei des Systembenutzers anzufordern.

MikroTik-Router

Der Hersteller hat am 23. April 2018 bereits die Router OS-Versionen v6.42.1 und v6.43rc4 freigegeben, die diese Sicherheitslücke schließen.

Downloadseite

Erste Angriffe beobachtet

Bleeping Computer berichtet hier, dass genau diese Sicherheitslücke bereits ausgenutzt werde. Laut einem tschechischen Forum wurde ein Zero-Day-Exploit entdeckt, mit dem sich die Nutzerdatenbank auslesen lässt.

Logs des Routers
(Quelle: Bleeping Computer)

Gelingt es dem Angreifer, auf die Nutzerdaten zuzugreifen und die Daten zu entschlüsseln, kann er sich anschließend über das Webinterface des Routers in das System einloggen. Die Hacks folgten einem ähnlichen Muster. Der Angreifer produziert zwei fehlgeschlagene Winbox-Anmeldeversuche und eine erfolgreiche Anmeldung (obiger Screenshot). Dann ändert er einige Dienste im Router und meldet sich ab, um einige Stunden später wiederzukommen.

Alle Angriffe wurden mit Winbox durchgeführt, einem Fernverwaltungsdienst, den MikroTik mit seinen Routern anbietet, um Benutzern die Konfiguration von Geräten über ein Netzwerk oder das Internet zu ermöglichen. Der Winbox-Dienst (Port 8291) wird standardmäßig mit allen MikroTik-Geräten ausgeliefert.

Zero-Day wurde nicht massenhaft genutzt

Die gute Nachricht ist, dass alle Angriffe bisher nur von einer IP-Adresse aus durchgeführt wurden, Das deutet darauf hin, dass dies die Arbeit eines einzelnen Hackers war. Die IP-Adresse 103.1.221.39 des Angreifers, von der alle angegriffenen Benutzer berichteten, wurde in Taiwan zugewiesen.

Trotzdem sollte man sofort updaten und vorsichtshalber die Anmeldekennwörter für den Routerzugang ändern.

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu MikroTik-Router patchen, Angriffe erfolgen

  1. Norbert sagt:

    Hallo,

    wir haben in unserem internen Netz WLAN-Bridges (RB411) von MikroTik im Einsatz. Kann mir jemand vielleicht sagen ob die davon auch betroffen sind?

    Grüße Norbert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert