O Plague Bot infecta roteadores MikroTik comprometidos em 2018

a semana passada, o gigante russo da Internet Yandex  foi alvo do maior ataque DDoS  da história de Runet, a Internet russa projetada para ser independente da rede mundial de computadores e garantir a resiliência do país a um desligamento da Internet.

O ataque DDoS foi lançado por um novo botnet DDoS rastreado como Mēris (palavra letã para ‘praga’), e atingiu o pico a uma taxa sem precedentes de 21,8 milhões de solicitações por segundo.

De acordo com uma investigação conjunta conduzida por Yandex e  Qrator Labs , o botnet Mēris é composto por aproximadamente mais de 200.000 dispositivos.

De acordo com os especialistas, a maioria dos dispositivos que compõem o botnet são roteadores MikroTik rodando várias versões do RouterOS. O fabricante de equipamentos de rede MikroTik revelou que os roteadores já estavam comprometidos em 2018. O vendedor explicou que os dispositivos não estavam devidamente protegidos, mesmo que os patches de segurança lançados pela MikroTik na época estivessem instalados.

“Pelo que vimos, esses ataques usam os mesmos roteadores que foram comprometidos em 2018, quando o MikroTik RouterOS tinha uma vulnerabilidade, que foi rapidamente corrigida.” lê um post publicado pela MikroTik em um post do fórum.

“Infelizmente, fechar a vulnerabilidade não protege imediatamente esses roteadores. Se alguém conseguiu sua senha em 2018, apenas um upgrade não vai ajudar. Você também deve alterar a senha, verificar novamente o firewall se ele não permitir o acesso remoto a partes desconhecidas e procurar scripts que você não criou. Tentamos chegar a todos os usuários do RouterOS sobre isso, mas muitos deles nunca estiveram em contato com a MikroTik e não estão monitorando ativamente seus dispositivos. Também estamos trabalhando em outras soluções ”.

A empresa apontou que se alguém conseguiu a senha de usuários em 2018, mesmo que os roteadores tenham sido corrigidos. Recomenda-se aos usuários alterar a senha, verificar novamente as configurações do firewall para bloquear o acesso remoto não confiável e verificar se há scripts suspeitos.

O fornecedor destacou que os atores da ameaça não estão explorando nenhuma vulnerabilidade não revelada nos dispositivos, a empresa tentou notificar os usuários potencialmente afetados, mas muitos deles nunca estiveram em contato com a MikroTik e evidentemente não protegeram seus dispositivos adequadamente.

Os especialistas também recomendam desabilitar o SOCKS e desabilitar todas as regras suspeitas.

“Se você vir um dispositivo RouterOS com scripts maliciosos ou configuração SOCKS que não foi criada por você, especialmente se esta configuração APARECEU AGORA, RECENTEMENTE, AO EXECUTAR UM NOVO LANÇAMENTO DO ROUTEROS: Entre em contato conosco imediatamente.” conclui o post.

Fonte: https://securityaffairs.co/
Autor: Pierluigi Paganini