Ein Hacker hat wohl damit begonnen, MikroTik-Router, die von ihren Benutzern nicht aktualisiert werden, mit Patches zu versehen, um Sicherheitslücken zu schließen.
Über Sicherheitslücken in MikroTik-Routern hatte ich hier im Blog mehrfach berichtet (siehe Links am Artikelende). Von MikroTik gibt es auch Firmware-Aktualisierungen. Aber es gibt wohl immer noch eine große Menge ungepatchter Geräte, die durch Malware befallen werden. Dem hat wohl ein Grey-Hat-Hacker den Kampf angesagt, wie ich diesem Tweet entnehmen.
A mysterious grey-hat is patching people’s outdated MikroTik routershttps://t.co/JSttxh0N1m pic.twitter.com/ssHI82abAH
— Catalin Cimpanu (@campuscodi) 12. Oktober 2018
Der Hacker mit dem Namen ‘Alexey’ sagt auf einer russischen Plattform über sich, dass er als Serveradministrator arbeite. Inzwischen will er bereits über 100.000 MikroTik-Router, die nicht gegen die im April 2018 bekannt gewordene Schwachstelle gepatcht wurden, desinfiziert zu haben. Dazu greift er auf verletzbare Router zu und nimmt Änderungen an deren Einstellungen vor, um weiteren Missbrauch zu verhindern. Damit sind diese Geräte für Malware-Angriffe (Crypto-Miner z.B.) nicht mehr erreichbar.
„Ich habe Firewall-Regeln hinzugefügt, die den Zugriff auf den Router von außerhalb des lokalen Netzwerks blockieren“, schreibt Alexey. „In den Kommentaren habe ich Informationen über die Schwachstelle und die Adresse des @router_os-Telegrammkanals hinterlassen. Dort war es möglich, dass sie [die Besitzer] Fragen stellen konnten.“
Aber trotz der Anpassung der Firewall-Einstellungen für über 100.000 Geräte schreibt Alexey, dass nur 50 Benutzer sich per Telegramm gemeldet haben. Ein paar sagten „Danke“, aber die meisten waren empört.
Für die Schwachstelle CVE-2018-14847 (Winbox-Bug) hat MikroTik ein Firmware-Update freigegeben. Aber die Schwachstelle wird von Cyber-Kriminellen ausgenutzt, um ungepatchte Router zu übernehmen.
Ähnliche Artikel:
Mikrotik-Router: Sicherheitslücke im Winbox-Port
MikroTik-Router patchen, Angriffe erfolgen
Tausende MicroTik-Router kompromittiert (CVE-2018-14847)
Das Verhalten ist schon etwas „speziell“, in einer Art Robin Hood, aber warum nicht ‚Danke‘ sagen. Vielleicht sind das in der Mehrzahl Geräte, wo nie wieder jemand drauf schaut (Steuerungen etc.), wenn alles funktioniert.