MikroTik Router-Absicherung gegen CVE-2018-14847

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Router-Hersteller MikroTik hat einen Sicherheitshinweis veröffentlicht, wie seine Geräte gegen eine Übernahme durch das Meris-Botnet geschützt werden können. Die Meris-Gang nutzt die 2018 entdeckte und längst gepatchte Schwachstelle CVE-2018-14847 aus, um die Geräte zu übernehmen und dann für DDoS-Angriffe zu missbrauchen. Hier einige Informationen dazu.


Anzeige

Das Meris-Botnet

Das Meris-Botnet ist noch recht neu und scheint sich über übernommene Router zu speisen. Inzwischen gehen von diesem Botnet mächtige DDoS-Angriffe aus. QRATOR Labs haben erst am 9. September 2021 erstmals im Beitrag Mēris botnet, climbing to the record über dieses Botnet berichtet. Ende Juni 2021 fand Qrator Labs erste Anzeichen eines neuen Botnetzes einer neuen Art. Das Botnet hat eine beträchtliche Angriffskraft für DDoS-Attacken, man hat bereits Angriffswellen mit 30.000 Geräten beobachtet. Yandex konnte die Daten über 56.000 angreifende Hosts sammeln.

Die Sicherheitsforscher gehen jedoch davon aus, dass die Zahl höher ist – wahrscheinlich mehr als 200 000 Geräte, die die Angreifer bisher nicht eingesetzt haben. Das Botnet setzt sich aus hochleistungsfähigen Geräten (Routern) zusammen, die über eine Ethernet-Verbindung an das Internet angeschlossen sind. MikroTik hat diesen Beitrag zum Botnet online gestellt. Krebs on Security wurde kürzlich über dieses Botnetz angegriffen.

Der MikroTik Sicherheitshinweis

Nun hat der Router-Hersteller MikroTik hat einen Sicherheitshinweis zur Winbox-Schwachstelle CVE-2018-14847  veröffentlicht. Ich bin über folgenden Tweet auf den Sachverhalt gestoßen.

MikroTik Sicherheitshinweis


Anzeige

Die Winbox-Schwachstelle CVE-2018-14847 wurde am 23. April 2018 in RouterOS entdeckt und ist inzwischen behoben. Zu beachten ist, dass Winbox zwar als Angriffspunkt verwendet wurde, die Schwachstelle aber in RouterOS lag. Die Sicherheitsanfälligkeit ermöglichte es einem speziellen Tool, sich mit dem Winbox-Port zu verbinden und die Systembenutzerdatenbankdatei anzufordern. Betroffen sind folgende Versionen:

  • Alle Bugfix-Versionen von 6.30.1 bis 6.40.7, behoben in 6.40.8 am 23.04.2018
  • Betroffen sind alle aktuellen Versionen von 6.29 bis 6.42, behoben in 6.42.1 am 23.04.2018
  • Betroffen sind alle RC-Releases von 6.29rc1 bis 6.43rc3, behoben in 6.43rc4 am 23.04.2018

Es ist also eine vor drei Jahren gefundene und inzwischen längst gefixte Schwachstelle, die durch das Botnet zur Geräteübernahme verwendet wird. Derzeit gibt es keine sichere Methode, um festzustellen, ob ein Geräte betroffen ist.

Wenn der Winbox-Port des Geräts für nicht vertrauenswürdige Netzwerke offen ist, dürfte das Gerät vom Botnet betroffen sein. Die MikroTik-Empfehlung lautet, die Firmware zu aktualisieren, das Passwort zu ändern und eine Firewall gemäß den MikroTik-Richtlinien hinzuzufügen. Administratoren sollten sich vergewissern, dass das Passwort nach einem Upgrade geändert wird. Weitere Details lassen sich hier nachlesen.


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu MikroTik Router-Absicherung gegen CVE-2018-14847

  1. Luzifer sagt:

    Also letztendlich eine Lücke für die bereits seit 3 Jahren ein Patch existiert, aber bisher daran scheitert das die User keine Interesse haben sich drum zu kümmern!
    Also ich bin ja noch immer dafür das unsichere Geräte einfach vom Internet abgeklemmt werden, dann kümmern sich die Leute ja evtl. mal darum, wenn sie auf einmal nicht mehr online kommen.

    Gleichzeit müssen natürlich Hersteller in die Pflicht genommen werden überhaupt sichere Geräte auf den Markt zu bringen! Wir brauchen auch bei Soft/Hardware eine unbeschränkte Haftung! (Beschränkte Haftung nur unter strengen Auflagen wenn keine fahrlässigkeit vorliegt)

    jm2c

    • Singlethreaded sagt:

      Ich kenne die genauen zeitlichen Zusammenhänge nicht, aber wenn es eine Lücke gab und der Hersteller hat zeitnah gepatched, dann kann ich von Seiten des Herstellers erstmal keinen Fehler erkennen.
      Die Hersteller entwickeln die Software ja nicht komplett selbst, sondern greifen auch auf andere Programme wie z.B. OpenSSL zurück. Wenn da Patches kommen muss der Hersteller diese einbauen.
      Ich glaube aber nicht, dass man es schafft eine Software auf einen Router zu bringen, welche 10 Jahre keine Lücke hat. Daher wird es wohl immer Patches geben.
      Ich würde für eine im Standard aktive Autopatching-Funktion werben, welche sicherheitsrelevante Updates automatisch installiert.
      Diese sollte für Experten zu deaktivieren sein. Natürlich übernimmt der Anwender damit dann die Verantwortung das Patchen oder andere Sicherungsmaßnahmen zu übernehmen.

      • Singlethreaded sagt:

        Im Moment haben wir eine Situation in welcher hinsichtlich der Software von vernetzten Geräten ein ziemlicher Wildwuchs herrscht. Manche Hersteller werfen Geräte billig auf den Markt, liefern aber keine Updates. Manchmal ist es technisch nicht einmal vorgesehen, dass Updates installiert werden könnten. All das ist legal / zulässig.
        Keine Ahnung wann die betroffen Router auf den Markt kamen, aber wenn die Lücken schon drei Jahre alt sind, dann sind das wohl ehr ältere Modelle. Somit vermute ich, dass der Hersteller die gesetzlichen Vorgaben erfüllt hat. Das es besser geht ist klar.

        Für die Zukunft braucht es:
        – Eine klare gesetzliche Verpflichtung der Hersteller zu Updates über die übliche Nutzungsdauer des Geräts
        – Für den Verbraucher sichtbare Kennzeichnung wie lange er Updates mindestens erwarten kann
        – Security by default. Alle Optionen sind so gesetzt, dass erstmal die sicherste Konfiguration aktiv ist. Zum Beispiel keine automatischen Portfreigaben, WLAN nur sichere Verschlüsselung wie derzeit WPA3 und noch WPA2 und automatische Updates sind aktiviert.
        – Wenn es keine Updates mehr gibt und das Gerät EOL ist, dann muss dieses den Nutzer aktiv warnen und zu einem Wechsel der Hardware auffordern.
        Ich denke damit wäre schon eine Menge gewonnen.

        • Paul sagt:

          "– Wenn es keine Updates mehr gibt und das Gerät EOL ist, dann muss dieses den Nutzer aktiv warnen und zu einem Wechsel der Hardware auffordern."

          Beim Handy ist das ja schon gelöst:
          Beim Handy wird der Akku einfach verklebt, und 5 Jahre nach dem letzten Ausliefern eines Updates wird dieser als "kaputt" definiert, sofern vorher nicht das Speicher zu klein geworden ist..
          Das hat die Smartphone-Indutrie genial einfach gelöst.

          Oder man folgt Apples Beispiel und taktet die CPU mit der Zeit einfach immer weiter runter.

          • Singlethreaded sagt:

            Ich bin sicher kein Freund davon funktionierende Hardware in den Müll zu werfen und gerade bei Smartphones ist die (geplante) Lebensdauer leider wirklich viel zu kurz. Ich hoffe sehr, dass sich mit der EU-Verordnung zur Update-Pflicht über fünf Jahre und Vorgaben was die Lebensdauer von Akkus angeht echt was ändert. Sicher kann man sich aber nicht sein und es wird wohl wie immer Zeit erfordern. Viele Geräte sind heute schon nach zwei Jahren EOL und das kann es nicht sein.

            Router betrifft dieses spezifische Problem aber nicht und wenn nicht gerade das Netzteil versagt oder das Gerät durch einen Schaden ausfällt, dann laufen die Dinger erstmal ewig. Das gilt auch dann, wenn das Gerät EOL ist und keine Updates mehr bekommt. Da hilft dann auch ein Prozess für die automatische Installation von Updates nix mehr.

            Anwender, welche es jetzt schon nicht schaffen die Updates selber einzuspielen werden wohl auch nicht auf den Webseiten der Hersteller die EOL-Listen durchforsten und selber feststellen, dass ihr Router ein Problem / eine Gefahr für sich und andere darstellt. Warum sollte man diesen Anwender nicht einen Hinweis geben? Es wurde ja reichen die erste Webanfrage nach der Anmeldung am WLAN auf eine Hinweisseite des Routers umzuleiten, welche auf das Problem hinweist und eine aktive Bestätigung verlangt.

            Das darf ruhig ein bisschen nerven. Warum sollte die Allgemeinheit es akzeptieren, dass alte Geräte weiter verwendet werden obwohl diese zu einer Gefahr für andere werden können? Wenn ich bei meinem Auto keine Bremsen mehr habe, dann komme ich auch nicht durch den TÜV und darf unabhängig davon auch nicht auf der Straße rumfahren.

            Gruß Singlethreaded

  2. Herr IngoW sagt:

    Haben diese Router eine Automatische Update-Funktion?
    Wenn nicht ist es einfach die Schult des Herstellers.
    Wenn ja, warum ist das nicht standartmäßig eingestellt.
    Passwort muss man halt selbst dran denken.
    Denn dem Normalen User ist egal ob da ein Update existiert, Hauptsache das Ding Funktioniert, wird einmal eingerichtet und dann nie mehr drauf geachtet läuft ja.

  3. bon-go sagt:

    Um das mal bei den Unwissenden klar zu stellen: das sind explizit keine Geräte die es üblicherweise für Unbedarfte – normale Nutzer wie weiter oben geschrieben wurde – im Laden gibt.

    Die Mikrotik sind durchgehend grundsätzlich kleine Rechner die für sehr komplexe und völlig unterschiedliche Einsatzszenarien benutzt werden können. Die welche solche Geräte einsetzen sollten das bewusst tun und sind vmtl. auch nicht erpicht auf vollautomatische Updatefunktionen seitens des Herstellers. Ich würde so etwas nicht haben wollen. Dafür bieten die Geräte genug eigene Funktionen und Tools um so etwas in Eigenregie zu orchestrieren. Für den Hersteller ist es schwer bis unmöglich festzustellen wo diese Geräte im Einsatz sind um ggf. den Besitzer darüber zu informieren. Mikrotik betreibt in Bezug auf die Nutzung Ihrer Produkte eine Firmenpolitik mit großen Freiheiten und wenig Zwang.

    Löst euch mal von dem absurden Speedport oder Fritz!Box Denken und macht euch schlau um was für Technik es da geht.

    • Glashaus sagt:

      Diese oberlehrerhafte Art findet man immer mehr im Netz. Niemand hier hat behauptet das die Geräte für Anfänger wären. Wenn aber angebliche Profis ihre Hardware verwahrlosen lassen, weil von außen her kein Druck kommt die eigenen Infrastruktur zu pflegen, dann hat man den Beruf verfehlt.

      Ich gehe davon aus, das die wenn überhaupt von einem Profi in einem SOHO installiert wurden, das nur von einem externen Systemhaus betreut wird. Dann läuft der Vetrag aus und die Hardware gammelt.

      Dürfen sich jetzt beruhigen, niemand hat Sie angegriffen. Aber diese selbstzufriedene Art und das herablassende Denken über Fritzbox-Nutzer hilft hier keinem. Muss mich auch nicht "schlau" machen, ich bin es bereits.

      Stellen Sie sich mal vor ein Chirurg würde mit Ihnen im Krankenhaus so reden:
      "Ja selbst schuld das sie den Tumor nicht entfernt haben, hätten sie sich mal schlau gemacht um was es da geht!"

      Merken Sie es jetzt selbst wo das Glashaus ist? Wir alle sind hier eine Gemeinschaft und keine Gegner. Warum also dieser Sozialdarwinismus ÜBERALL im Netz? Cool bleiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.