Latvijas tīkla iekārtu ražotājs MikroTik ir aizvēris nulles-dienu ievainojamību savā maršrutētāju operētājsistēmā RouterOS. Pirmie uzbrukumus caur ievainojamību atklāja Čehijas tehnoloģiju foruma lietotāji. Viņi nosūtīja informāciju par problēmu ražotājam un mazāk kā pēc dienas uzņēmums izlaida drošības ielāpu. Ievainojamība skar RouterOS no 6.29 līdz 6.43rc3 ieskaitot.
Uzbrucējs pievienojās portam 8291, kas paredzēts attālinātai vadībai. Ievainojamība ļāva iegūt lietotāju datu bāzi. Atšifrējot to, varēja iegūt nepieciešamos datus ieejai sistēmā. Visi atklātie uzbrukumi tika izdarīti pēc viena scenārija: pēc diviem neveiksmīgiem mēģinājumiem ļaundaris veiksmīgi autorizējās, mainīja vairākus iestatījumus, izgāja no sistēmas un veica atkārtotu ielaušanos pēc pāris stundām. Kaspersky Lab drošības eksperts Kostins Raiju (Costin Raiu) rakstīja savā Twitterā, ka uzbrukumu rezultātā maršrutētāji tika inficēti ar Lua valodā uzrakstītu ļaunprogrammatūru.
New MikroTik zero day attack patched yesterday installs mips malware that appears related to Luabot, fetches next stage from two hardcoded C2s. pic.twitter.com/Kvyy4QYKVd
— Costin Raiu (@craiu) April 25, 2018
Tā kā nav zināms, kuri maršrutētāji ir kļuvuši par upuriem, ražotājs iesaka visiem lietotājiem nomainīt administratora paroli. Bez aparātprogrammatūras atjaunināšanas, maršrutētāju īpašniekiem ieteicams izmainīt Winbox vadības porta numuru un noteikt adrešu diapazonu, no kurām var vadīt maršrutētāju.
Komentēt