MikroTik-Router patchen, Angriffe erfolgen

Benutzer von Mikrotik-Routern sollten deren Firmware dringend aktualisieren. Denn eine vor zwei Tagen bekannt gewordene Sicherheitslücke wird bereits für Angriffe ausgenutzt.


Anzeige

Sicherheitslücke bekannt, Update verfügbar

Vor zwei Tagen hatte ich im Artikel Mikrotik-Router: Sicherheitslücke im Winbox-Port über eine Sicherheitslücke in Routern des Anbieters Mikrotik berichtet. Die Schwachstelle wurde von Mikrotik entdeckt und betrifft alle RouterOS-Versionen seit v6.29 bis zur Version .43rc3. Die Sicherheitslücke erlaubte es einem speziellen Tool, sich mit dem Winbox-Port zu verbinden und die Datenbankdatei des Systembenutzers anzufordern.

MikroTik-Router

Der Hersteller hat am 23. April 2018 bereits die Router OS-Versionen v6.42.1 und v6.43rc4 freigegeben, die diese Sicherheitslücke schließen.

Downloadseite

Erste Angriffe beobachtet

Bleeping Computer berichtet hier, dass genau diese Sicherheitslücke bereits ausgenutzt werde. Laut einem tschechischen Forum wurde ein Zero-Day-Exploit entdeckt, mit dem sich die Nutzerdatenbank auslesen lässt.

Logs des Routers
(Quelle: Bleeping Computer)

Gelingt es dem Angreifer, auf die Nutzerdaten zuzugreifen und die Daten zu entschlüsseln, kann er sich anschließend über das Webinterface des Routers in das System einloggen. Die Hacks folgten einem ähnlichen Muster. Der Angreifer produziert zwei fehlgeschlagene Winbox-Anmeldeversuche und eine erfolgreiche Anmeldung (obiger Screenshot). Dann ändert er einige Dienste im Router und meldet sich ab, um einige Stunden später wiederzukommen.

Alle Angriffe wurden mit Winbox durchgeführt, einem Fernverwaltungsdienst, den MikroTik mit seinen Routern anbietet, um Benutzern die Konfiguration von Geräten über ein Netzwerk oder das Internet zu ermöglichen. Der Winbox-Dienst (Port 8291) wird standardmäßig mit allen MikroTik-Geräten ausgeliefert.


Anzeige

Zero-Day wurde nicht massenhaft genutzt

Die gute Nachricht ist, dass alle Angriffe bisher nur von einer IP-Adresse aus durchgeführt wurden, Das deutet darauf hin, dass dies die Arbeit eines einzelnen Hackers war. Die IP-Adresse 103.1.221.39 des Angreifers, von der alle angegriffenen Benutzer berichteten, wurde in Taiwan zugewiesen.

Trotzdem sollte man sofort updaten und vorsichtshalber die Anmeldekennwörter für den Routerzugang ändern.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu MikroTik-Router patchen, Angriffe erfolgen

  1. Norbert sagt:

    Hallo,

    wir haben in unserem internen Netz WLAN-Bridges (RB411) von MikroTik im Einsatz. Kann mir jemand vielleicht sagen ob die davon auch betroffen sind?

    Grüße Norbert

Schreibe einen Kommentar zu Andreas K. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.