超过30万台MikroTik设备易受远程黑客攻击

至少有30万个与MikroTik设备相关的IP地址被发现容易受到多个可远程攻击的安全漏洞的攻击，这些漏洞后来被广受欢迎的路由器和无线ISP设备供应商修补。

网络安全公司Eclypsium在与《黑客新闻》分享的一份报告中称，受影响最严重的设备位于中国、巴西、俄罗斯、意大利、印度尼西亚，美国排在第八位。

研究人员指出：“这些设备功能强大，而且往往非常容易受到攻击。”。“这使得MikroTik设备成为威胁参与者的最爱，他们从DDoS攻击、指挥和控制（也称为‘C2’）、流量隧道等方面征用了这些设备。”

MikroTik设备是一个诱人的目标，尤其是因为它们在全球部署了200多万个，构成了一个巨大的攻击面，可被威胁行为者用来发动一系列入侵。

事实上，今年九月早些时候，有报道称一个新的僵尸网络名为M.Riz，它通过使用Mikrotik操作系统（CVE-201814847）中的一个安全漏洞来攻击一个破纪录的分布式拒绝服务（DDoS）攻击。

这不是MikroTik路由器第一次在现实世界中被武器化。2018年，网络安全公司Trustwave发现了至少三个大规模恶意软件活动，利用数十万未打补丁的MikroTik路由器在与其相连的计算机上秘密安装加密货币矿工。同年，中国的Netlab 360报告称，数千台易受攻击的MikroTik路由器通过CVE-2018-14847窃听网络流量，被秘密地关进僵尸网络。

CVE-2018-14847也是过去三年中发现的四个未解决的漏洞之一，这可能导致MikroTik设备的全面接管-

• CVE-2019-3977（CVSS分数：7.5）-MikroTik RouterOS没有充分验证升级包的来源，允许重置所有用户名和密码
• CVE-2019-3978（CVSS分数：7.5）-MikroTik RouterOS对关键资源的保护不足，导致缓存中毒
• CVE-2018-14847（CVSS分数：9.1）-WinBox接口中存在MikroTik RouterOS目录遍历漏洞
• CVE-2018-7445（CVSS分数：9.8）-MikroTik RouterOS SMB缓冲区溢出漏洞

此外，Eclypsium的研究人员表示，他们发现了20000台暴露在外的MikroTik设备，这些设备将加密货币挖掘脚本注入用户访问的网页。

研究人员说：“受损路由器注入恶意内容、隧道、复制或重新路由流量的能力可以以多种极具破坏性的方式使用。”。“DNS中毒可能会将远程工作者的连接重定向到恶意网站，或在中间引入一台机器。”

研究人员补充说：“攻击者可以使用众所周知的技术和工具，潜在地捕获敏感信息，例如使用WiFi短信从远程用户处窃取MFA凭据。与以前的攻击一样，企业流量可能会被隧道传输到另一个位置，或者恶意内容被注入有效流量。”。

MikroTik路由器并不是唯一一个加入僵尸网络的设备。Fortinet的研究人员本周披露了Moobot僵尸网络如何利用海康威视视频监控产品（CVE-2021-36260）中已知的远程代码执行（RCE）漏洞来扩展其网络，并使用受损设备发起分布式拒绝服务（DDoS）攻击。

在另一份报告中，这家企业网络安全公司表示，名为Manga aka Dark Mirai的僵尸网络的运营商正在积极滥用最近披露的一个认证后远程代码执行漏洞（CVE-2021-41653），劫持TP-Link路由器，并将设备添加到受感染设备的网络中。

使现代化

在与《黑客新闻》分享的一份声明中，这家拉脱维亚公司表示，“RouterOS中没有新的漏洞”，同时强调保持操作系统的最新状态是“避免各种漏洞的必要步骤”

该公司解释说：“不幸的是，关闭旧漏洞并不能立即保护受影响的路由器。我们没有非法后门来更改用户密码并检查其防火墙或配置。这些步骤必须由用户自己完成。”。

“我们尽最大努力联系RouterOS的所有用户，提醒他们进行软件升级、使用安全密码、检查防火墙以限制对不熟悉方的远程访问，并寻找不寻常的脚本。不幸的是，许多用户从未与MikroTik联系，也没有积极监控他们的设备。我们与世界各地的各种机构也在寻找其他解决方案。"