How to become an author
Search
Write a publication
Pull to refresh

Comments 10

Комментарий разработчиков Микротик:
Эксплуатировалась старая уязвимость, которая присутствовала в маршрутизаторах с отключенным файерволлом. Исправили в 6.38.5 (Март 2017). При обновлении все вредоносные файлы с маршрутизатора будут удалены.
Более того, эта «пакость» не распространялась широко, заражались избирательно конкретные цели.

Оригинальный ответ
As far as we know, somebody exploited the already fixed chimayred vulnerability in open (no firewall) routers before we patched it in March 2017 (RouterOS v6.38.5). Upgrading RouterOS fixes the vulnerability and removes any malicious files.

Also worth noting, that Winbox no longer downloads any DLL files from your device anyway, since even before the above mentioned version.

forum.mikrotik.com/viewtopic.php?t=131748#p647153
Another thing to note. This «malware» did not spread. It was installed manually to very specific targets, through a now-closed vulnerability. They have discovered only a handful affected devices.

forum.mikrotik.com/viewtopic.php?t=131748#p647433
Total votes 3: ↑3 and ↓0+3
Мораль: держать самую свежую прошивку из баг фик ветки
This comment wasn’t rated yet0
Лучше включить firewall и заблокировать доступ к роутеру с хостов, с которых не предполагается управление.
This comment wasn’t rated yet0
Мораль: не нужно держать открытой наружу панель управления роутером.
Вообще, если вы хотите управление устройством по небезопасному (http) протоколу, то вы должны быть уверены в доступе к этому протоколу только безопасным методом (например, vpn).
This comment wasn’t rated yet0
Более того: .dll-файлы загружал с роутера WinBox Loader v2.*. А в районе 2015 года был выпущен WinBox v3, который .dll не загружает с роутера.
This comment wasn’t rated yet0
Насколько я помню, при обновлении прошивки с роутера может загрузиться новый интерфейс WinBox, т.е. роутер и в актуальной версии имеет возможность отдать исполняемые файлы, которые запускаются у администратора.
This comment wasn’t rated yet0
Да, так было у WinBox Loader v2, о чём и написано. В третьей версии (с 2014 года, не 2015, обшибся) исполняемых файлов не загружается, только данные по интерфейсу.
This comment wasn’t rated yet0
Он использует средство конфигурирования Winbox для загрузки DLL-файлов в память компьютера. Хакеры поместили библиотеку ipv4.dll на маршрутизатор, которая также начала передаваться в память.

А ничего что в системе библиотеки не dll а so?
This comment wasn’t rated yet0

Лучше читать источники


Specifics of the router technique still aren't known, but they involve using a MikroTik configuration utility called Winbox to download dynamic link library files from the router's file system.

Т.е. dll "передавалась в память" атакуемой машины, а не роутера

This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr