Vor Kurzem erzielten groß angelegte DDoS-Angriffe mittels eines neuen Botnets namens Mēris fast 22 Millionen Anfragen pro Sekunde. Laut des Berichts vom Qrator Labs, haben die Netzwerkgeräte von MikroTik einen beträchtlichen Anteil des Traffics des Mēris-Botnets generiert.
Experten von MikroTik analysierten die Situation und fanden keine neuen Schwachstellen in den Routern der Firma, doch altbekannte Sicherheitslücken können auch heute noch eine Gefahr darstellen. Aus diesem Grund empfehlen wir allen Benutzern von MikroTik-Routern sich zu vergewissern, dass ihr Router nicht Teil des Mēris-Botnets (oder eines anderen Botnets) geworden ist.
Warum MikroTik-Router für das Botnet gekapert werden
Vor einigen Jahren entdeckten IT-Sicherheitsforscher eine Sicherheitslücke in MikroTik-Router: Winbox, ein Konfigurationstool für MikroTik-Router, über das massenhaft Geräte kompromittiert wurden. Obwohl das Unternehmen die Lücke bereits im Jahr 2018 mit einer neuen Firmware-Version für die betreffenden Router abgesichert hatte, wurde das Problem dadurch größtenteils nicht gelöst, weil viele Benutzer ihre Router nicht aktualisierten.
Andere Benutzer aktualisierten zwar ihre Router, folgten aber nicht den Empfehlungen des Unternehmens, auch ihre Passwörter zu ändern. Vermutlich erbeuteten die Angreifer damals Zugangsdaten zu den betroffenen Geräten, auf die sie immer noch zugreifen können, wenn die Passwörter nicht geändert wurden. Selbst nach dem Sicherheitsupdate haben die Angreifer in diesen Fällen weiterhin Zugang.
Laut MikroTik, handelt es sich bei den Routern, die aktuell mit Mēris infiziert sind, um Geräte, die 2018 kompromittiert wurden. Das Unternehmen hat Informationen über die Anzeichen einer Kompromittierung und Empfehlungen diesbezüglich veröffentlicht.
Wie kann ich herausfinden, ob mein Router Teil eines Botnets ist?
Wenn ein Router einem Botnets hinzugefügt wird, ändern die Cyberverbrecher einige Einstellungen in der Firmware des Gerätes. Aus diesem Grund empfiehlt MikroTik zuerst einen Blick auf die Einstellungen des Routers zu werfen und auf Folgendes zu prüfen:
- Eine Regel, die das Skript über Fetch-Befehle ausführt. Entfernen Sie ggf. diese Regel (unter System → Scheduler).
- Ein SOCKS Proxy-Server ist aktiviert. Die Einstellungen finden Sie unter IP → SOCKS. Deaktivieren Sie den SOCKS-Proxy, wenn Sie ihn nicht verwenden.
- Ein L2TP-Client namens lvpn, (oder andere L2TP-Clienten, die Ihnen nicht bekannt sind). Löschen Sie diese Clienten.
- Eine Firewall-Regel, die Remote-Zugriff über den Port 5678 zulässt. Entfernen Sie diese Regel.
So schützen Sie Ihren MikroTik-Router
Regelmäßige Updates gehören zu jeder erfolgreichen Schutzstrategie. Dieselben bewährten Methoden für allgemeine Netzwerksicherheit gelten auch für das MikroTik-Netzwerk.
- Vergewissern Sie sich, dass Ihr Router die aktuelle Version der Firmware verwendet und führen Sie regelmäßig Updates durch.
- Deaktivieren Sie den Remote-Zugriff auf das Gerät, es sei denn, Sie brauchen ihn wirklich.
- Konfigurieren Sie den Remote-Zugriff – auch in diesem Fall nur, wenn Sie wirklich darauf angewiesen sind – über einen VPN-Kanal. Sie können dafür beispielsweise ein IPSec-Protokoll verwenden.
- Verwenden Sie ein langes und starkes Admin-Passwort. Selbst wenn Sie bereits über ein starkes Passwort verfügen, ist es empfehlenswert es vorsichtshalber zu ändern.
Gehen Sie allgemein davon aus, dass ihr lokales Netzwerk nicht sicher ist, denn wenn ein Computer infiziert wird, kann die Malware über das kompromittierte Gerät den Router angreifen, versuchen das Passwort zu knacken und möglicherweise Zugriff darauf erhalten. Aus diesem Grund empfehlen wir unsererseits eine zuverlässige Sicherheitslösung auf allen Computern zu verwenden, die mit dem Internet verbunden sind.