Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet

Netwerkapparatuurfabrikant MikroTik heeft gebruikers opgeroepen een oud lek in zijn RouterOS-software te dichten dat wordt misbruikt door een botnet. Dat maakt van een exploit gebruik die naar buiten kwam in de Vault 7-dump van CIA-tools en -technieken.

MikroTik schrijft in een forumpost dat een botnet sinds kort het internet afzoekt naar MikroTik-apparaten, die een kwetsbare versie van RouterOS draaien. Een patch kwam volgens het bedrijf meer dan een jaar geleden uit in de vorm van versie 6.38.5 van de software. Routers met deze versie zijn veilig, net als apparaten waarvan poort 80 is gefilterd met een firewall. Het botnet in kwestie zou momenteel niet meer doen dan scannen en zichzelf uitbreiden, maar een update zou desalniettemin aan te raden zijn volgens het bedrijf.

Teskt uit MikroTik-waarschuwing

Volgens het Chinese veiligheidsbedrijf Qihoo 360 gaat het bij het botnet om een Hajime-variant. Dat detecteert aan de hand van poort 8291 of er sprake is van een MikroTik-apparaat en probeert vervolgens via de zogenaamde Chimay Red-exploit tot infectie over te gaan en het apparaat aan het botnet toe te voegen. Deze exploit werd publiekelijk bekend doordat hij voorkwam in de Vault 7-dump, die WikiLeaks in maart van vorig jaar publiceerde. Qihoo 360 schrijft dat het vanaf 25 maart een sterke stijging in het aantal scans naar MikroTik-apparaten heeft vastgesteld. Die komen voornamelijk uit BraziliŽ, Iran en Rusland.

De Hajime-malware werd in oktober 2016 ontdekt door het beveiligingsbedrijf Rapidity. Dat gebeurde kort nadat de broncode van de Mirai-malware online verschenen was, wat het ontstaan van verschillende varianten tot gevolg had. Destijds schreef het bedrijf dat het doel van Hajime 'een mysterie' was, omdat de variant geen module bevatte om kwaadaardige acties uit te voeren, zoals een ddos-aanval. Symantec publiceerde vorig jaar een analyse waarin het stelde dat Hajime een poging was om de groei van Mirai-achtige botnets te remmen.

Door

Nieuwsredacteur

10 Linkedin Google+

Submitter: pimlie

Reacties (10)

Wijzig sortering
Zo update extra gedraaid dan maar van begin deze maand.

Hoor achter mij de bevredigende piepjes.
What's new in 6.41.3 (2018-Mar-08 11:55):
Nu hopen dat hier alle problemen al in zijn gerepareerd. Poort stond standaard al dicht.
Dat probleem was inderdaad al lang gefixed, het betreft een nogal oude versie van RouterOS.
En die upgrade is niet zonder risico's omdat er sinds versie 6.41 een andere manier gebruikt wordt om bridges en switches te configureren.
Als je een oudere versie gaat upgraden, dan verdwijnen je master en slave ethernetpoorten (als je die hebt) en worden ze omgezet naar een bridge met hardware offloading.
Nee had die niet ingesteld. Had volgens mij al eerder geupdate maar nu voor de zekerheid nog maar een keer gedaan.
Je kan upgraden naar bijvoorbeeld versie 6.40.6. Dan ben je wel veilig, maar heb je nog niet de nieuwe bridge implementatie.
Die nieuwe bridge implementatie ben ik overigens super over te spreken. Deze is echt veel gebruiksvriendelijker dan de oude situatie.
Let op dat in 6.40.x nog steeds een SMB vulnerability lijkt te zitten.

Lijkt, want Mikrotik is nooit echt helder in hun communicatie:

- de termen current, bugfix en latest worden door elkaar gebruikt
- bugfix bevat niet altijd wat er in current zit
- release notes zijn onduidelijk
- ze wijzigen ook nog wel eens de release notes na een release: zie https://github.com/BigNerd95/Chimay-Blue.

Dit in combinatie dat diverse upgrades en updates nogal eens bestaande functionaliteit om zeep helpen, maakt veel mensen huiverig om werkende systemen bij te werken naar nieuwere versies. En dat werkt nu enorm tegen ze, want zo blijven er veel systemen kwetsbaar.

[Reactie gewijzigd door wiert.tweakers op 31 maart 2018 12:36]

Ik heb een script draaien die 1x per dag controleert of er een update is, zo ja, krijg ik een mailtje.
channel: current
current-version: 6.41.3
latest-version: 6.41.3
status: System is already up to date
Ik had zover ik weet ook master met slave poorten, maar deze is kennelijk destijds al goed geŁpgraded ;)
Fun fact of the day, Hajime (はじめ) betekent 'begin' in het Japans, en mirai (みらい) betekent toekomst. Het gaat hier dus om het begin van de toekomst, hoewel dit niet veel van het mysterieuze doel van dit botnet verklaart...
Meestal is er niks mysterieus aan het doel van een botnet hoor :)
wel van deze:
Destijds schreef het bedrijf dat het doel van Hajime 'een mysterie' was, omdat de variant geen module bevatte om kwaadaardige acties uit te voeren, zoals een ddos-aanval. Symantec publiceerde vorig jaar een analyse waarin het stelde dat Hajime een poging was om de groei van Mirai-achtige botnets te remmen.
Deze namen zijn niet gegeven door de makers van het botnet, maar door de ontdekkers ervan. De kans is dus klein dat de naam 'hints' bevat naar het doel van het botnet (tenzij de ontdekkers het doel ook hebben gevonden en de naam daarop hebben gebaseerd natuurlijk)

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*