forum.opennet.ru

Составление сообщения

Исходное сообщение

"Более 7500 маршрутизаторов MikroTik вовлечены в атаку с пере..."
Отправлено opennews, 04-Сен-18 22:24

Исследователи из лаборатории 360 Netlab выявили (https://blog.netlab.360.com/7500-mikrotik-routers-are-forwar... вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847,
устранённой (https://forum.mikrotik.com/viewtopic.php?f=21&t=133533) в апрельском обновлении MikroTikOS 6.42.1. Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации. По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью.
Многие из этих устройств уже атакованы. Например, на 7500 устройств обнаружено изменение настроек перехвата пакетов и зеркалирования перехваченного трафика с использованием протокола TZSP (https://en.wikipedia.org/wiki/TZSP). Трафик отправлялся на один из девяти внешних IP-адресов с использованием выборочного отфильтровывания запросов на сетевые порты 20, 21 (FTP), 25 (SMTP), 110 (POP3), 144 (IMAP), 161 и 162 (SNMP). Наибольшее число устройств было поражено в России (1628), Иране (637), Бразилии (615), Индии (594) и Украине (544).
На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика, которая была организована через включение прокси Socks4, открытого только для подсети 95.154.216.128/25. Также зафиксирована неудачная попытка использования маршрутизаторов для вовлечение пользователей в майнинг криптовалют. На некоторых устройствах атакующие включили HTTP-прокси и настроили проброс всех запросов к HTTP-прокси на локальную страницу, выводимую при HTTP-ошибке 403. На эту странице был добавлен JavaScript-код для майнинга криптовалюты, загружаемый с сайта coinhive.com. Код оказался нерабочим, так как загрузка данных с coinhive.com также подпадала под установленный атакующими ACL.

URL: https://blog.netlab.360.com/7500-mikrotik-routers-are-forwar.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49226

Исходное сообщение
"Более 7500 маршрутизаторов MikroTik вовлечены в атаку с пере..." Отправлено opennews, 04-Сен-18 22:24
Исследователи из лаборатории 360 Netlab выявили (https://blog.netlab.360.com/7500-mikrotik-routers-are-forwar... вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, устранённой (https://forum.mikrotik.com/viewtopic.php?f=21&t=133533) в апрельском обновлении MikroTikOS 6.42.1. Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации. По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью. Многие из этих устройств уже атакованы. Например, на 7500 устройств обнаружено изменение настроек перехвата пакетов и зеркалирования перехваченного трафика с использованием протокола TZSP (https://en.wikipedia.org/wiki/TZSP). Трафик отправлялся на один из девяти внешних IP-адресов с использованием выборочного отфильтровывания запросов на сетевые порты 20, 21 (FTP), 25 (SMTP), 110 (POP3), 144 (IMAP), 161 и 162 (SNMP). Наибольшее число устройств было поражено в России (1628), Иране (637), Бразилии (615), Индии (594) и Украине (544). На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика, которая была организована через включение прокси Socks4, открытого только для подсети 95.154.216.128/25. Также зафиксирована неудачная попытка использования маршрутизаторов для вовлечение пользователей в майнинг криптовалют. На некоторых устройствах атакующие включили HTTP-прокси и настроили проброс всех запросов к HTTP-прокси на локальную страницу, выводимую при HTTP-ошибке 403. На эту странице был добавлен JavaScript-код для майнинга криптовалюты, загружаемый с сайта coinhive.com. Код оказался нерабочим, так как загрузка данных с coinhive.com также подпадала под установленный атакующими ACL. URL: https://blog.netlab.360.com/7500-mikrotik-routers-are-forwar.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=49226

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи из лаборатории 360 Netlab выявили (https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours-en/) 
> вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными 
> маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, 
 
> устранённой (https://forum.mikrotik.com/viewtopic.php?f=21&t=133533) в апрельском 
> обновлении MikroTikOS 6.42.1. Уязвимость была вызвана ошибкой в компоненте Winbox и 
> позволяла изменить настройки устройства без прохождения аутентификации. По данным 360 
> Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с 
> неисправленной уязвимостью.

> Многие из этих устройств уже атакованы. Например, на 7500 устройств обнаружено изменение 
> настроек перехвата пакетов и зеркалирования перехваченного трафика с использованием протокола 
> TZSP (https://en.wikipedia.org/wiki/TZSP). Трафик отправлялся на один из девяти внешних 
> IP-адресов с использованием выборочного отфильтровывания запросов на сетевые порты 20, 
> 21 (FTP), 25 (SMTP), 110 (POP3), 144 (IMAP), 161 и 162 
> (SNMP). Наибольшее число устройств  было поражено в России (1628), Иране 
> (637), Бразилии (615), Индии (594) и Украине (544).

> На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика, которая была 
> организована через включение прокси Socks4,  открытого только для подсети  
> 95.154.216.128/25. Также зафиксирована неудачная попытка использования маршрутизаторов 
> для вовлечение пользователей в майнинг криптовалют. На некоторых устройствах атакующие 
> включили HTTP-прокси и настроили проброс всех запросов к HTTP-прокси на локальную 
> страницу, выводимую при HTTP-ошибке 403. На эту странице был добавлен JavaScript-код 
> для майнинга криптовалюты, загружаемый с сайта coinhive.com. Код оказался нерабочим, так 
> как загрузка данных с coinhive.com также подпадала под установленный атакующими ACL.

> URL: https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours-en/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49226

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру