Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
Новости

Как защитить роутер MikroTik от ботнета Mēris | Блог Касперского

Как защитить MikroTik от ботнета Mēris и очистить уже зараженный роутер.

Некоторое время назад многие СМИ, пишущие на тему информационной безопасности, рассказывали о масштабных DDoS-атаках при помощи нового ботнета Mēris. Мощность его атак доходила до 22 миллионов запросов в секунду (Requests Per Second). Согласно исследованию компании Qrator, изрядную часть трафика этого ботнета генерировали сетевые устройства компании MikroTik.

В MikroTik проанализировали ситуацию и пришли к выводу, что новых уязвимостей в их роутерах нет, но чтобы убедиться, что ваш маршрутизатор не примкнул к ботнету, необходимо выполнить ряд рекомендаций.

Почему устройства MikroTik участвуют в ботнете

Несколько лет назад в роутерах MikroTik действительно была обнаружена уязвимость — множество устройств было скомпрометировано через Winbox, инструмент для их настройки. Несмотря на то, что уязвимость была закрыта еще в 2018 году, обновились далеко не все.

Кроме того, даже среди обновившихся не все последовали рекомендациям производителя по смене паролей. Если пароль не сменить, то даже после обновления прошивки до последней версии остается вероятность того, что злоумышленники зайдут на роутер со старым паролем и вновь начнут использовать его для преступной деятельности.

Как следует из поста MikroTik, сейчас в ботнете участвуют те же устройства, что были скомпрометированы в 2018 году. Компания опубликовала признаки компрометации устройства и выдала рекомендации по их защите.

Как можно понять, что ваш роутер MikroTik участвует в ботнете

Использование вашего роутера ботнетом оставляет ряд характерных признаков в настройках. Поэтому компания MikroTik рекомендует прежде всего изучить конфигурацию устройства на предмет наличия опасных настроек:

  • В разделе System -> Scheduler может быть правило, которое исполняет скрипт с методом fetch(). Удалите это правило, если оно есть.
  • В разделе IP -> Socks включен proxy-сервер. Если вы не пользуетесь этой настройкой или вообще не знаете, зачем она, отключите ее совсем.
  • Присутствует L2TP-клиент с названием lvpn, или любой другой незнакомый вам L2TP-клиент. Его также следует удалить.
  • Присутствует правило файрвола, разрешающее доступ через порт 5678. Это правило также следует удалить.

Рекомендации по защите роутера MikroTik

  • Убедитесь, что ваш роутер использует последнюю версию прошивки и вообще, регулярно обновляйте ее.
  • Не включайте без необходимости возможность удаленного доступа к устройству.
  • Если у вас есть необходимость в удаленном доступе — организуйте его через VPN-сервис, например по протоколу IPsec.
  • Используйте длинный и надежный пароль. И даже если вы всегда так и делали — на всякий случай смените его.
  • Не считайте, что ваша локальная сеть по определению безопасна. Если один из ваших компьютеров заражен, то зловред может атаковать роутер с него и получить доступ методом перебора паролей.

Мы со своей стороны присоединяемся к последнему совету и рекомендуем использовать на всех компьютерах, имеющих доступ к Интернету, надежные защитные решения.


Источник: Лаборатория Касперского

17.09.2021