数以千计的MikroTik路由器被黑客窃听网络流量

上个月，我们报道了一个大规模加密挖掘恶意软件活动，该活动使用先前披露的CIA Vault 7漏洞中披露的漏洞劫持了超过200,000台MikroTik路由器。 现在，Qihoo 360 Netlab的中国安全研究人员发现，在370,000个可能易受攻击的MikroTik路由器中，有超过7,500台设备遭到入侵，导致Socks4代理被恶意攻击，允许攻击者自7月中旬以来主动窃听目标网络流量。 有关该漏洞是永保中发现被利用的MikroTik路由器的任何目录文件中读取（CVE-2018-14847）CIA库7黑客工具，以及另一个MikroTik的Webfig远程代码执行漏洞。

Winbox和Webfig都是RouterOS管理组件，其对应的通信端口为TCP / 8291，TCP / 80和TCP / 8080。Winbox专为Windows用户设计，可以轻松配置从路由器下载某些DLL文件并在系统上执行它们的路由器。

根据研究人员的说法，即使在供应商已经推出安全更新来修补漏洞之后，仍有超过370,000的120万MikroTik路由器仍然容易受到CVE-2018-14847攻击。

Netlab研究人员已经发现恶意软件利用CVE-2018-14847漏洞执行各种恶意活动，包括CoinHive挖掘代码注入，在路由器上静默启用Socks4代理以及监视受害者。

CoinHive挖掘代码注入 -启用Mikrotik RouterOS HTTP代理后，攻击者将所有HTTP代理请求重定向到本地HTTP 403错误页面，该页面为Coinhive的Web挖掘代码注入链接。

“通过这样做，攻击者希望对用户设备上的所有代理流量进行网络挖掘，”研究人员解释说。

“但是攻击者失算的一点是，挖掘代码不能以这种方式工作，因为所有外部网络资源，包括来自网上挖掘所需的coinhive.com的资源，都被攻击者自己设置的代理ACL阻止。”

恶意启用Sock4代理- 在受害者设备上静默启用Socks4端口或TCP / 4153，即使在重新启动（IP更改）后，攻击者也可以通过定期向攻击者的URL报告其最新IP地址来获得对设备的控制权。

研究人员表示，目前，共有239,000个IP地址被确认为恶意启用Socks4代理，最终允许攻击者使用这些受损的Socks4代理连续扫描更多MikroTik RouterOS设备。

窃听受害者 -由于MikroTik RouterOS设备允许用户在路由器上捕获数据包并将其转发到指定的Stream服务器，因此攻击者将来自受感染路由器的流量转发到由它们控制的IP地址。

“目前，共有7.5k MikroTik RouterOS设备IP已被攻击者攻击，他们的TZSP流量正被转发到一些收集的IP地址，”研究人员说。

“我们还注意到SNMP端口161和162也是列表中的首位。值得注意的是，为什么攻击者正在关注普通用户几乎不使用的网络管理协议？他们是否正在尝试监控和捕获一些特殊用户的网络SNMP社区字符串？“

受害者遍布俄罗斯，伊朗，巴西，印度，乌克兰，孟加拉国，印度尼西亚，厄瓜多尔，美国，阿根廷，哥伦比亚，波兰，肯尼亚，伊拉克以及一些欧洲和亚洲国家，俄罗斯受影响最严重。

出于安全原因，Netlab没有向公众分享受害者的IP地址，但表示受影响国家的相关安全实体可以联系该公司以获取受感染IP地址的完整列表。

保护自己的最好方法是PATCH。强烈建议MikroTik RouterOS用户更新他们的设备，并检查HTTP代理，Socks4代理和网络流量捕获功能是否被恶意利用。