marks Sep 9 2018 at 16:25

Злоумышленники скомпрометировали тысячи роутеров MikroTik для создания ботнета

3 min

25K

Information Security*Network hardware

Comments 11

saipr Sep 9 2018 at 16:41

Больше всего устройств этого производителя физически находится в Бразилии и России.

Надеюсь Yota их не поставляет.

zerg59 Sep 9 2018 at 17:07

Киски тоже небезупречны: xakep.ru/2018/04/06/smi-rce

Bhudh Sep 9 2018 at 16:47

Очень странное употребление слова «скомпрометировать» в заголовке.
Рассчитывал в тексте увидеть обоснование малопригодности роутеров MikroTik для создания ботнета.

GeMir Sep 9 2018 at 20:21

Про Fritz!Box (AVM) ничего не слышно?

Вообще же в сети до сих пор работает около 370 тысяч роутеров, уязвимость в ПО которых еще не исправлена.

Политика «принудительного обновления» MikroTik чужда?

roman901 Sep 10 2018 at 15:09

Да, давайте принудительно обновлять роутеры удалённо без ведома хозяина.

abrwalk Sep 9 2018 at 20:28

Уязвимость, которую используют злоумышленники, была обнаружена еще в апреле, причем сама компания уже давно выпустила патч для исправления проблемы.

Но тысячи роутеров остаются уязвимыми и сейчас, поскольку их прошивку никто не обновляет

А при чем тут MikroTik, подставьте в статью название любого вендора — получится та же история.

avacha Sep 9 2018 at 21:41

Забавный случай — это уже, если не ошибаюсь, пятая статья с упором на одну и ту же давно закрытую уязвимость.

marks Sep 9 2018 at 22:25

О закрытии ее говорится в самой статье. Но она не становится от этого менее актуальной.

justhabrauser Sep 10 2018 at 09:40

marks не выполнил вчера план по буквам потому что.
Поэтому что было — тем и добил.

avelor Sep 10 2018 at 14:29

при этом для эксплуатации уязвимости нужно чтоб наружу (ну или на том интерфейсе, с которого пришёл кульхацкер) был открыт винбокс.
если винбокс снаружи закрыт, а внутри сеть защищена другими способами, но прошивку можно и не обновлять.

да, зато если забыл пароль от админки (или нехороший админ свалил и не передал) на прошивках без фикса удобно восстанавливать пароль ^_^

imbasoft Sep 10 2018 at 12:19

Немного некореектно сформулирован пункт:

Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов.

TZSP — протокол, используемый Mikrotik'ом при реализации функционала CALEA.

Wireshark — ПО, способное принять и понять (деинкапсулировать) трафик передаваемый Mikrotik'ом в формате TZSP.