Comments 10
Комментарий разработчиков Микротик:
Эксплуатировалась старая уязвимость, которая присутствовала в маршрутизаторах с отключенным файерволлом. Исправили в 6.38.5 (Март 2017). При обновлении все вредоносные файлы с маршрутизатора будут удалены.
Более того, эта «пакость» не распространялась широко, заражались избирательно конкретные цели.
Эксплуатировалась старая уязвимость, которая присутствовала в маршрутизаторах с отключенным файерволлом. Исправили в 6.38.5 (Март 2017). При обновлении все вредоносные файлы с маршрутизатора будут удалены.
Более того, эта «пакость» не распространялась широко, заражались избирательно конкретные цели.
Оригинальный ответ
forum.mikrotik.com/viewtopic.php?t=131748#p647153
forum.mikrotik.com/viewtopic.php?t=131748#p647433
As far as we know, somebody exploited the already fixed chimayred vulnerability in open (no firewall) routers before we patched it in March 2017 (RouterOS v6.38.5). Upgrading RouterOS fixes the vulnerability and removes any malicious files.
Also worth noting, that Winbox no longer downloads any DLL files from your device anyway, since even before the above mentioned version.
forum.mikrotik.com/viewtopic.php?t=131748#p647153
Another thing to note. This «malware» did not spread. It was installed manually to very specific targets, through a now-closed vulnerability. They have discovered only a handful affected devices.
forum.mikrotik.com/viewtopic.php?t=131748#p647433
+3
Мораль: держать самую свежую прошивку из баг фик ветки
0
Лучше включить firewall и заблокировать доступ к роутеру с хостов, с которых не предполагается управление.
0
Мораль: не нужно держать открытой наружу панель управления роутером.
Вообще, если вы хотите управление устройством по небезопасному (http) протоколу, то вы должны быть уверены в доступе к этому протоколу только безопасным методом (например, vpn).
Вообще, если вы хотите управление устройством по небезопасному (http) протоколу, то вы должны быть уверены в доступе к этому протоколу только безопасным методом (например, vpn).
0
Более того: .dll-файлы загружал с роутера WinBox Loader v2.*. А в районе 2015 года был выпущен WinBox v3, который .dll не загружает с роутера.
0
Насколько я помню, при обновлении прошивки с роутера может загрузиться новый интерфейс WinBox, т.е. роутер и в актуальной версии имеет возможность отдать исполняемые файлы, которые запускаются у администратора.
0
Латвийская разведка, не иначе.
+1
Он использует средство конфигурирования Winbox для загрузки DLL-файлов в память компьютера. Хакеры поместили библиотеку ipv4.dll на маршрутизатор, которая также начала передаваться в память.
А ничего что в системе библиотеки не dll а so?
0
Sign up to leave a comment.
Slingshot APT: найден продвинутый вирус — он оставался незамеченным 6 лет