最新的安全研究發(fā)現(xiàn)，網(wǎng)絡(luò)設(shè)備廠商 MikroTik 的路由器系統(tǒng)RouterOS爆出多個重大安全漏洞，將導致超過30萬臺 MikroTik 設(shè)備存在被利用這些安全漏洞遭受遠程黑客攻擊的風險。

根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，MikroTik設(shè)備在全球部署超過200萬臺，這構(gòu)成了一個巨大的攻擊面，黑客通過這些攻擊點就能發(fā)起一系列的入侵行動。包括利用設(shè)備進行DDOS攻擊、作為C2命令和控制服務(wù)器、建立流量隧道等。

今年 9 月初一個名為Mēris的新僵尸網(wǎng)絡(luò)利用 Mikrotik 的網(wǎng)絡(luò)設(shè)備作為攻擊媒介，對俄羅斯互聯(lián)網(wǎng)公司 Yandex 發(fā)起了破紀錄的分布式拒絕服務(wù) (DDoS) 攻擊。

在過去三年中發(fā)現(xiàn)的四個重大安全漏洞可以讓 MikroTik 設(shè)備完全被控制：

CVE-2019-3977（CVSS 評分：7.5）- MikroTik RouterOS 升級包來源驗證不足，允許重置所有用戶名和密碼；

CVE-2019-3978（CVSS 評分：7.5）- MikroTik RouterOS 對關(guān)鍵資源的保護不足，導致緩存中毒；

CVE-2018-14847（CVSS 評分：9.1）- WinBox 界面中的 MikroTik RouterOS 目錄遍歷漏洞；

CVE-2018-7445（CVSS 評分：9.8）- MikroTik RouterOS SMB 緩沖區(qū)溢出漏洞；

安全研究人員表示，他們發(fā)現(xiàn)了 20000 個暴露的已經(jīng)被入侵利用的 MikroTik 設(shè)備，這些設(shè)備將加密貨幣挖掘腳本注入用戶訪問的網(wǎng)頁。受感染路由器注入惡意內(nèi)容、隧道、復制或重定向路由流量的能力可以以多種極具破壞性的方式使用。DNS 中毒可能會將遠程工作人員的連接重定向到惡意網(wǎng)站或引入中間機。

根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，攻擊者可以使用眾所周知的技術(shù)和工具來潛在地捕獲敏感信息，例如通過 WiFi 使用 SMS 從遠程用戶那里竊取MFA憑據(jù)。與之前的攻擊一樣，企業(yè)流量可以通過隧道傳輸?shù)搅硪粋€位置或?qū)阂鈨?nèi)容注入到有效流量中。

MikroTik 路由器并不是唯一被僵尸網(wǎng)絡(luò)利用的設(shè)備，本周披露的Moobot 僵尸網(wǎng)絡(luò)則是利用海康威視視頻監(jiān)控產(chǎn)品 ( CVE-2021-36260 ) 中已知的遠程代碼執(zhí)行 (RCE) 漏洞來擴展其網(wǎng)絡(luò)，并使用受感染的設(shè)備進行分布式拒絕服務(wù) (DDoS) 攻擊。