Grey-hat haker patchuje zastarele verzije MikroTik rutera

Haker tvrdi da je do sada patchovao preko 100.000 rutera.

Grey-hat haker patchuje zastarele verzije MikroTik rutera

Još jednom su u centru pažnje MikroTik ruteri. U nekoliko navrata pisali smo o velikom broju ugroženih uređaja koji su podložni za rudarenje kripto valuta zbog toga što njihovi vlasnici nisu primenili dostupni patch. Pojavio se haker sa ruskog govornog područja koji pripada tzv. sivoj zoni i koji “hakuje” MikroTik rutere kako bi primenio patch i zaštitio ih od zloupotreba kao što su rudarenje kripto valuta bez znanja vlasnika i korišćenje uređaja za formiranje botneta.

Haker koji se zove Aleksej kaže da radi kao server administrator i ne krije da je hakovao ugrožene rutere, ali samo kako bi promenio podešavanja i zaštitio ih od budućih napada. Dodao je pravila u firewallu kojim je blokirao pristup ruteru van lokalne mreže. Takođe, na društvenoj mreži Telegram napravio je kanal @router_os gde korisnici mogu da mu postavljaju pitanja. Iako je patchovao preko 100.000 rutera, samo 50-ak korisnika mu se javilo, a reakcije su bile pretežno negativne.

Haker navodi da je patchovao samo rutere čiji vlasnici to nisu sami uradili. Podsećanja radi, Zero-day ranjivost CVE-2018-14847 u MikroTik ruterima je otkrivena u aprilu, a kompanija je momentalno izbacila patch. Uprkos tome, sajber kriminalci su takođe bili brzi u eksploatisanju ranjivosti, a u prilog im ide pasivnost korisnika i internet provajdera u primenjivanju patcha.

Pomenuta ranjivost je zgodna za napadače jer im omogućava da zaobiđu autentifikaciju i da downloaduju fajl sa podacima korisnika. Dekriptovanjem fajla, mogu da upotrebe neku od kombinacija kredencijala kako bi se ulogovali, promenili podešavanja i pokrenuli različite skripte. U prethodnih 5 i po meseci, ranjivost je pretežno korišćena za ubacivanje skripti koje rudare kripto valute na zastarelim verzijama MikroTik rutera i za preuzimanje DNS servera i kasnije preusmeravanje saobraćaja ka malicioznim sajtovima. Problem ne bi bio tolikog obima da se ne radi o jednom od najpopularnijih brendova rutera.

Aleksej je uspeo da patchuje toliki broj rutera zato što napadači koji eksploatišu njegove ranjivosti nisu obavili elementarne stvari kao što su zatvaranje portova i patchovanje kojim bi svima drugima onemogućili pristup odnosno izmenu podešavanja.

Srećna okolnost je što je Aleksej delovao iz plemenih motiva. Međutim, zakonski posmatrano, njegova aktivnost je nelegalna. I pored najboljih namera, protivzakonito je pristupiti nečijem uređaju (pojedinca ili organizacije) bez izričitog odobrenja.

Slični primeri iz nedavne prošlosti

Ovakvih hakerskih poduhvata je bilo i ranije.

Godine 2014, jedan haker je u hiljadama ASUS rutera ostavio tekstualne poruke sa upozorenjem vlasnicima da izvrše patch.

U 2015. grupa hakera pod imenom White Team lansirala je Linux.Wifatch malver kojim su zatvorili bezbednosne propuste na Linux ruterima.

Haker pod imenom The Janit0r je 2017. imao radikalniji pristup, jer je distribuirao BrickerBot malver kojim je IoT uređajima sa zastarelim verzijama brisao firmware ili ih činio potpuno neupotrebljivim (eng. Bricking).

Iste godine, haker pod imenom Stackoverflowin hakovao je štampače koji su izbacivali poruku sa namerom podizanja svesti o opasnostima koje nose štampači koji su izloženi online.

Ove godine je haker preimenovao na desetine hiljada MikroTik i Ubiquinti rutera u "HACKED" i još neke nazive kako bi podstakao vlasnike da ažuriraju uređaje.

MikroTik – problem na strani internet provajdera i kućnih korisnika

Po svemu sudeći, situacija sa MikroTik ruterima se neće skorije poboljšati. Velika odgovornost za rešavanje problema je na internet servis provajderima (ISP). Razlog je što mnogi od ovih uređaja nisu kućni uređaji korisnika, već tzv. “edge” uređaji koji su često deo interne infrastrukture ISP-a, kao što su ruteri koji se nalaze u ISP kutijama u stambenim objektima ili na banderama. Deo problema su i kućni korisnici koji nisu patchovali svoje rutere.

Neimenovani izvor navodi da je grey-hat haker Aleksej patchovao i neke edge rutere. Ironija je da će zbog ovog poteza možda naterati provajdere da patchuju sve rutere.

Što se tiče kompanije MikroTik, oni su u poređenju sa drugim vendorima veoma ažurni u ispravljanju bezbednosnih propusta tako da ih ne treba kriviti za to što internet provajderi i kućni korisnici nisu primenili patch koji je dostupan mesecima unazad.

Izvor: ZD Net