MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet

Netwerkapparatuurfabrikant MikroTik heeft gebruikers opgeroepen een oud lek in zijn RouterOS-software te dichten dat wordt misbruikt door een botnet. Dat maakt van een exploit gebruik die naar buiten kwam in de Vault 7-dump van CIA-tools en -technieken.

MikroTik schrijft in een forumpost dat een botnet sinds kort het internet afzoekt naar MikroTik-apparaten, die een kwetsbare versie van RouterOS draaien. Een patch kwam volgens het bedrijf meer dan een jaar geleden uit in de vorm van versie 6.38.5 van de software. Routers met deze versie zijn veilig, net als apparaten waarvan poort 80 is gefilterd met een firewall. Het botnet in kwestie zou momenteel niet meer doen dan scannen en zichzelf uitbreiden, maar een update zou desalniettemin aan te raden zijn volgens het bedrijf.

mikrotik-waarschuwing
Teskt uit MikroTik-waarschuwing

Volgens het Chinese veiligheidsbedrijf Qihoo 360 gaat het bij het botnet om een Hajime-variant. Dat detecteert aan de hand van poort 8291 of er sprake is van een MikroTik-apparaat en probeert vervolgens via de zogenaamde Chimay Red-exploit tot infectie over te gaan en het apparaat aan het botnet toe te voegen. Deze exploit werd publiekelijk bekend doordat hij voorkwam in de Vault 7-dump, die WikiLeaks in maart van vorig jaar publiceerde. Qihoo 360 schrijft dat het vanaf 25 maart een sterke stijging in het aantal scans naar MikroTik-apparaten heeft vastgesteld. Die komen voornamelijk uit Brazilië, Iran en Rusland.

De Hajime-malware werd in oktober 2016 ontdekt door het beveiligingsbedrijf Rapidity. Dat gebeurde kort nadat de broncode van de Mirai-malware online verschenen was, wat het ontstaan van verschillende varianten tot gevolg had. Destijds schreef het bedrijf dat het doel van Hajime 'een mysterie' was, omdat de variant geen module bevatte om kwaadaardige acties uit te voeren, zoals een ddos-aanval. Symantec publiceerde vorig jaar een analyse waarin het stelde dat Hajime een poging was om de groei van Mirai-achtige botnets te remmen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 29-03-2018 11:51
10 • submitter: pimlie

29-03-2018 • 11:51

10

Submitter: pimlie

Lees meer

Nuance: er waren geen drie miljoen Java-tandenborstels die websites ddos'ten
Nuance: er waren geen drie miljoen Java-tandenborstels die websites ddos'ten Nieuws van 8 februari 2024
MikroTik introduceert router in PCIe-kaartformaat
MikroTik introduceert router in PCIe-kaartformaat Nieuws van 18 februari 2022
Duitse overheid publiceert richtlijnen voor beveiliging routers
Duitse overheid publiceert richtlijnen voor beveiliging routers Nieuws van 16 november 2018
DrayTek waarschuwt dat aanvallers dns-instellingen van zijn routers wijzigen
DrayTek waarschuwt dat aanvallers dns-instellingen van zijn routers wijzigen Nieuws van 18 mei 2018
VestaCP-hostingpaneel dicht lek dat werd misbruikt voor ddos-aanvallen
VestaCP-hostingpaneel dicht lek dat werd misbruikt voor ddos-aanvallen Nieuws van 9 april 2018
Nederlandse beveiligingsexperts pleiten voor collectieve ddos-bestrijding
Nederlandse beveiligingsexperts pleiten voor collectieve ddos-bestrijding Nieuws van 5 april 2018
Maker BrickerBot-malware claimt 10 miljoen iot-apparaten te hebben geïnfecteerd
Maker BrickerBot-malware claimt 10 miljoen iot-apparaten te hebben geïnfecteerd Nieuws van 12 december 2017
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten'
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten' Nieuws van 20 oktober 2017
'Hajime-malware is een poging om uitbreiding Mirai-botnet te voorkomen'
'Hajime-malware is een poging om uitbreiding Mirai-botnet te voorkomen' Nieuws van 19 april 2017
'CIA gebruikt zero-days in Windows, Android, iOS en Samsung-tv's voor spionage'
'CIA gebruikt zero-days in Windows, Android, iOS en Samsung-tv's voor spionage' Nieuws van 7 maart 2017
Broncode van malware achter iot-botnet Mirai verschijnt online
Broncode van malware achter iot-botnet Mirai verschijnt online Nieuws van 3 oktober 2016
Meer producten en artikelen
Netwerk en systeembeheer Botnetwerk Security

Reacties (10)

-Moderatie-faq
10
10
5
1
0
2
Wijzig sortering
Touchdomex 29 maart 2018 12:19
Zo update extra gedraaid dan maar van begin deze maand.

Hoor achter mij de bevredigende piepjes.
What's new in 6.41.3 (2018-Mar-08 11:55):
Nu hopen dat hier alle problemen al in zijn gerepareerd. Poort stond standaard al dicht.
Bierkameel @Touchdomex29 maart 2018 12:33
Dat probleem was inderdaad al lang gefixed, het betreft een nogal oude versie van RouterOS.
En die upgrade is niet zonder risico's omdat er sinds versie 6.41 een andere manier gebruikt wordt om bridges en switches te configureren.
Als je een oudere versie gaat upgraden, dan verdwijnen je master en slave ethernetpoorten (als je die hebt) en worden ze omgezet naar een bridge met hardware offloading.
Touchdomex @Bierkameel29 maart 2018 12:41
Nee had die niet ingesteld. Had volgens mij al eerder geupdate maar nu voor de zekerheid nog maar een keer gedaan.
FatalError @Bierkameel29 maart 2018 17:16
Je kan upgraden naar bijvoorbeeld versie 6.40.6. Dan ben je wel veilig, maar heb je nog niet de nieuwe bridge implementatie.
Die nieuwe bridge implementatie ben ik overigens super over te spreken. Deze is echt veel gebruiksvriendelijker dan de oude situatie.
wiert.tweakers @FatalError31 maart 2018 12:35
Let op dat in 6.40.x nog steeds een SMB vulnerability lijkt te zitten.

Lijkt, want Mikrotik is nooit echt helder in hun communicatie:

- de termen current, bugfix en latest worden door elkaar gebruikt
- bugfix bevat niet altijd wat er in current zit
- release notes zijn onduidelijk
- ze wijzigen ook nog wel eens de release notes na een release: zie https://github.com/BigNerd95/Chimay-Blue.

Dit in combinatie dat diverse upgrades en updates nogal eens bestaande functionaliteit om zeep helpen, maakt veel mensen huiverig om werkende systemen bij te werken naar nieuwere versies. En dat werkt nu enorm tegen ze, want zo blijven er veel systemen kwetsbaar.

[Reactie gewijzigd door wiert.tweakers op 25 juli 2024 02:28]

iMars @Touchdomex29 maart 2018 14:59
Ik heb een script draaien die 1x per dag controleert of er een update is, zo ja, krijg ik een mailtje.
channel: current
current-version: 6.41.3
latest-version: 6.41.3
status: System is already up to date
Ik had zover ik weet ook master met slave poorten, maar deze is kennelijk destijds al goed geüpgraded ;)
Chuk 29 maart 2018 11:59
Fun fact of the day, Hajime (はじめ) betekent 'begin' in het Japans, en mirai (みらい) betekent toekomst. Het gaat hier dus om het begin van de toekomst, hoewel dit niet veel van het mysterieuze doel van dit botnet verklaart...
mvds @Chuk29 maart 2018 12:27
Meestal is er niks mysterieus aan het doel van een botnet hoor :)
mjz2cool @mvds29 maart 2018 13:14
wel van deze:
Destijds schreef het bedrijf dat het doel van Hajime 'een mysterie' was, omdat de variant geen module bevatte om kwaadaardige acties uit te voeren, zoals een ddos-aanval. Symantec publiceerde vorig jaar een analyse waarin het stelde dat Hajime een poging was om de groei van Mirai-achtige botnets te remmen.
Eagle_Erwin @Chuk29 maart 2018 19:08
Deze namen zijn niet gegeven door de makers van het botnet, maar door de ontdekkers ervan. De kans is dus klein dat de naam 'hints' bevat naar het doel van het botnet (tenzij de ontdekkers het doel ook hebben gevonden en de naam daarop hebben gebaseerd natuurlijk)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq