Recente grootschalige DDoS-aanvallen die gebruikmaakten van een nieuw botnet met de naam Mēris piekten met bijna 22 miljoen verzoeken per seconde. Volgens onderzoek van Qrator genereerden de netwerkapparaten van MikroTik een groot gedeelte van het verkeer van het botnet.
Na analyse van de situatie hebben MikroTik-deskundigen geen nieuwe kwetsbaarheden gevonden in de routers van het bedrijf, maar oude kwetsbaarheden kunnen echter nog steeds een bedreiging vormen. Om er zeker van te zijn dat uw router geen lid is geworden van het Mēris-botnet (of welk ander botnet dan ook), moet u een paar aanbevelingen opvolgen.
Waarom MikroTik-apparaten zich bij een botnet aansluiten
Een aantal jaar geleden werd er tijdens een veiligheidsonderzoek een kwetsbaarheid in MikroTik-routers ontdekt: Winbox, een configuratietool voor MikroTik-routers waarmee veel apparaten werden gecompromitteerd. Hoewel MikroTik de kwetsbaarheid al in 2018 heeft verholpen, hebben blijkbaar niet alle gebruikers hun routers bijgewerkt.
En zelfs van degenen die dat wel deden, volgde niet iedereen de aanvullende aanbevelingen van de fabrikant om het wachtwoord te wijzigen. Als een gebruiker het wachtwoord niet heeft gewijzigd, kunnen aanvallers zelfs met bijgewerkte firmware op de router inloggen en deze opnieuw misbruiken.
Volgens MikroTik zijn de routers die nu geïnfecteerd zijn met Mēris dezelfde apparaten die in 2018 al werden gecompromitteerd. Het bedrijf heeft indicatoren van de aantasting van apparatuur gepubliceerd en aanbevelingen gedaan.
Hoe u erachter komt of uw MikroTik-router deel uitmaakt van een botnet
Wanneer een router zich bij een botnet aansluit, wijzigen cybercriminelen een aantal instellingen in de firmware van het apparaat. MikroTik’s eerste aanbeveling is daarom om naar de configuratie van het apparaat te kijken en deze te controleren op het volgende:
- Een regel die het script uitvoert met de fetch ()-methode. Verwijder deze regel (onder Systeem → Taakplanner), indien aanwezig;
- Een ingeschakelde SOCKS-proxyserver. U vindt deze instellingen onder IP → SOCKS ; als u deze niet gebruikt, schakel hem dan uit;
- Een L2TP-client met de naam lvpn, (of een andere L2TP-client die u niet kent). Verwijder deze clients ook;
- Een firewall-regel die toegang op afstand toestaat via poort 5678. Verwijder deze regel.
Aanbevelingen om uw MikroTik-router te beschermen
Regelmatige updates zijn een cruciaal onderdeel van elke succesvolle verdedigingsstrategie. Een groot deel van het veilig houden van een MikroTik-netwerk bestaat uit het volgen van algemene best practices voor netwerkbeveiliging.
- Zorg ervoor dat uw router de nieuwste firmware gebruikt, en werk deze regelmatig bij;
- Schakel toegang op afstand tot het apparaat uit, tenzij u het absoluut nodig hebt;
- Configureer toegang op afstand – opnieuw, alleen als u het echt nodig hebt – via een VPN-kanaal. Gebruik bijvoorbeeld het IPsec-protocol;
- Gebruik een lang en sterk beheerderswachtwoord. Zelfs als uw huidige wachtwoord sterk is, is het beter om dit voor de zekerheid toch te wijzigen;
Ga er in het algemeen van uit dat uw lokale netwerk niet veilig is, wat betekent dat als één computer geïnfecteerd raakt, de malware de router van binnenuit kan aanvallen en toegang kan krijgen door wachtwoorden te kraken. Daarom raden wij van onze kant het gebruik van betrouwbare beveiligingsoplossingen op alle met het internet verbonden computers ten zeerste aan.