数千台MikroTik路由器被黑客入侵，以窃听网络流量

如今，奇虎360 Netlab的中国安全研究人员发现，在37万个潜在易受攻击的MikroTik路由器中，有7500多个设备被恶意入侵，以启用Socks4代理，自7月中旬以来，攻击者可以主动窃听目标网络流量。

问题中的漏洞是MikroTik路由器中读取的Winbox任意目录文件（CVE-2018-14847），该漏洞被CIA Vault 7黑客工具Chimay Red利用，以及MikroTik的另一个Webfig远程代码执行漏洞。

Winbox和Webfig都是RouterOS管理组件，其相应的通信端口为TCP/8291、TCP/80和TCP/8080。Winbox是为Windows用户设计的，可以轻松配置从路由器下载一些DLL文件并在系统上执行的路由器。

据研究人员称，120万台MikroTik路由器中有超过37万台仍然容易受到CVE-2018-14847漏洞的攻击，即使供应商已经推出了安全更新来修补漏洞。

Netlab研究人员已发现恶意软件利用CVE-2018-14847漏洞执行各种恶意活动，包括CoinHive挖掘代码注入、在路由器上静默启用Socks4代理，以及监视受害者。

CoinHive Mining Code Injection ， 启用Mikrotik RouterOS HTTP代理后，攻击者将所有HTTP代理请求重定向到本地HTTP 403错误页面，该页面为Coinhive中的web挖掘代码注入链接。

研究人员解释说：“通过这样做，攻击者希望对用户设备上的所有代理流量执行web挖掘”。

“然而，令攻击者失望的是，挖掘代码不能以这种方式工作，因为所有外部web资源，包括web挖掘所需的来自coinhive.com的资源，都被攻击者自己设置的代理ACL阻止”。

恶意启用Sock4代理 ，在受害者设备上以静默方式启用Socks4端口或TCP/4153允许攻击者通过定期向攻击者的URL报告其最新IP地址来获得对设备的控制，即使在设备重新启动（IP更改）后也是如此。据研究人员称，目前，共有239000个IP地址被证实恶意启用了Socks4代理，最终允许攻击者使用这些受损的Socks4代理不断扫描更多MikroTik RouterOS设备。

Eavesdropping on Victims ，由于MikroTik RouterOS设备允许用户捕获路由器上的数据包并将其转发到指定的流服务器，攻击者正在将流量从受损路由器转发到由其控制的IP地址。

研究人员说：“目前，共有7.5k MikroTik RouterOS设备IP被攻击者入侵，他们的TZSP流量正在转发到一些正在收集的IP地址”。

“我们还注意到，SNMP端口161和162也在列表的最前面。这值得我们提出一些问题，为什么攻击者会关注普通用户几乎不使用的网络管理协议？他们是否试图监视和捕获一些特殊用户的网络SNMP社区字符串？”

受害者分布在俄罗斯、伊朗、巴西、印度、乌克兰、孟加拉国、印度尼西亚、厄瓜多尔、美国、阿根廷、哥伦比亚、波兰、肯尼亚、伊拉克以及一些欧洲和亚洲国家，其中俄罗斯受影响最大。

出于安全原因，Netlab没有向公众分享受害者的IP地址，但表示受影响国家的相关安全实体可以联系该公司，获取受感染IP地址的完整列表。

保护自己的最好方法是修补。强烈建议MikroTik RouterOS用户更新设备，并检查HTTP代理、Socks4代理和网络流量捕获功能是否被恶意利用。