Recente ataques DDoS em larga escala usando uma nova botnet chamada Mēris atingiu quase 22 milhões de pedidos por segundo. De acordo com Pesquisa de Qrator publica em 09 de Setembro 2021, os dispositivos de rede do MikroTik geraram uma boa parte do tráfego da botnet.
Analisando a situação, os especialistas do MikroTik não encontraram novas vulnerabilidades nos roteadores da empresa; no entanto, os antigos ainda podem representar uma ameaça. Portanto, para garantir que seu roteador não tenha aderido à botnet Mēris (ou qualquer outra botnet, por isso), você precisa seguir algumas recomendações.
Como isso é possível?
Alguns anos atrás, a pesquisa de segurança descobriu um vulnerabilidade em roteadores MikroTik: Winbox, uma ferramenta de configuração para roteadores MikroTik através do qual muitos dispositivos foram comprometidos. Embora o MikroTik tenha corrigido a vulnerabilidade em 2018, aparentemente nem todos os usuários atualizaram seus roteadores.
Além disso, mesmo entre aqueles que o fizeram, nem todos seguiram as recomendações adicionais de mudança de senha do fabricante. Se um usuário não alterou a senha, então mesmo o firmware atualizado poderia permitir que os invasores façam login no roteador e comecem a explorá-la novamente.
De acordo com MikroTik em seu comunicado oficial, os roteadores que agora estão infectados com Mēris são os mesmos dispositivos que foram comprometidos em 2018. A empresa publicou indicadores de comprometimento do dispositivo e emitiu recomendações.
Como saber se meu Mikrotik faz parte da botnet?
Quando um roteador se junta a uma botnet, os cibercriminosos alteram uma série de configurações no firmware do dispositivo. Portanto, a primeira recomendação do MikroTik é olhar para a configuração do dispositivo e verificar o seguinte:
- Uma regra que executa o script com o método fetch (). Remova esta regra (em System → Scheduler), se estiver presente;
- Um servidor proxy SOCKS ativado. Você encontrará a configuração em SOCKS de → IP; se você não usá-lo, desabilitá-lo;
- Um cliente L2TP chamado lvpn (ou qualquer outro cliente L2TP desconhecido para você). Excluir esses clientes também;
- Uma regra de firewall que permite acesso remoto através da porta 5678. Remova essa regra.
Como se proteger?
Atualizações regulares são uma parte crucial de qualquer estratégia de defesa bem sucedida. Muito de manter uma rede MikroTik segura está seguindo as melhores práticas gerais de segurança da rede.
- Certifique-se de que seu roteador está usando o firmware mais recente disponível e atualize-o regularmente;
- Desativar o acesso remoto ao dispositivo, a menos que você precise absolutamente dele;
- Configure o acesso remoto — novamente, se você realmente precisar — através de um canal VPN. Por exemplo, use o protocolo IPsec;
- Use uma senha de gerenciamento longa e forte. Mesmo que sua senha atual seja forte, altere-a agora, por precaução;
Em geral, proceda sob a suposição de que sua rede local não é segura, o que significa que se um computador for infectado, então o malware pode atacar o roteador de dentro do seu perímetro e obter acesso por senhas que forçam o bruto.
Caso não saiba como se proteger contrate os serviços de consultoria do Grupo TecSecret.
