Hacker exploram vulnerabilidade em roteadores MikroTik
De acordo com informações recentes, hackers estão explorando uma vulnerabilidade em roteadores MikroTik para encaminhar tráfego de rede para outros endereços IP sob seu controle.
Vale lembrar que no início de agosto criminosos estavam usando roteadores da marca para injetar um script minerador de criptomoedas em páginas visitadas pelo usuário.
Hacker exploram vulnerabilidade em roteadores MikroTik
De acordo com a empresa chinesa Qihoo 360, os hackers estão explorando a vulnerabilidade CVE-2018-14847 no componente de gerenciamento Winbox. Ela foi corrigida em abril, mas 370.000 roteadores ainda estão vulneráveis.
Deste total, mais de 7.500 foram comprometidos para habilitar o proxy Socks4 e assim encaminhar tráfego de rede para endereços IP controlados pelos criminosos.
Com isso eles estão analisando o tráfego que passa pelos roteadores comprometidos desde julho deste ano.
A vulnerabilidade CVE-2018-14847 foi explorada usando um exploit da ferramenta CIA Vault 7 chamado Chimay Red. Uma vulnerabilidade no componente Webfig que permite a execução remota de códigos maliciosos também foi utilizada.
Os componentes de gerenciamento Winbox e Webfig do RouterOS fazem uso das portas TCP/8291, TCP/80 e TCP/8080.
O Winbox foi criado para permitir que usuários do Windows configurem o roteador facilmente baixando e executando certos arquivos DLL no sistema.
Segundo os pesquisadores da Qihoo 360, alguns malwares que exploram a CVE-2018-14847 para executar tarefas como injeção de script minerador de criptomoedas, ativação do proxy Socks4 nos roteadores sem o consentimento do usuário e espionagem já foram identificados.
Injeção do script minerador de criptomoedas
Depois de habilitar o proxy nos roteadores MikroTik vulneráveis, os atacantes redirecionam todas as requisições de tráfego HTTP para uma página local com o erro HTTP 403 que injeta um link para o script CoinHive.
Habilitação do proxy Socks4
Habilitar o proxy Socks4 ou a porta TCP/4153 no roteador da vítima permite que o atacante ganhe o controle completo sobre o dispositivo mesmo que ele seja reinicializado.
Os pesquisadores afirmam que um total de 239.000 endereços IP tiveram o proxy Socks4 habilitado por hackers, que podem usar isso para procurar por mais roteadores MikroTik vulneráveis.
Espionagem das vítimas
Como a plataforma RouterOS dos roteadores MikroTik permite a captura e encaminhamento de pacotes de rede para um servidor, os atacantes estão se aproveitando disso para encaminhar o tráfego de rede para endereços IP sob seu controle para ser analisado pelos criminosos.
Entre os países com o maior número de roteadores vulneráveis estão Rússia, Irã, Brasil, Índia, Ucrânia, Bangladesh, Indonésia, Equador, Estados Unidos, Argentina, Colômbia, Polônia, Quênia e Iraque:
