Original-URL des Artikels: https://www.golem.de/news/mikrotik-hacker-sichert-100-000-router-ohne-zustimmung-ab-1810-137151.html    Veröffentlicht: 16.10.2018 16:53    Kurz-URL: https://glm.io/137151

Mikrotik

Hacker sichert 100.000 Router ohne Zustimmung ab

Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. Ein Hacker nimmt sich dieser an: Er dringt ungefragt in die Router ein und schließt die Lücke. Die Aktion ist umstritten.

Eine bereits im März entdeckte und zeitnah geschlossene Sicherheitslücke in Mikrotik Routern, klafft bis heute in Tausenden Geräten, da deren Besitzer die entsprechenden Sicherheitsupdates nicht eingespielt haben. Der Hacker Alexey bekundet laut dem Internetmagazin ZDnet, dass er bereits 100.000 Router gehackt habe, bei denen die Sicherheitslücke immer noch offen gewesen sei. Anschließend habe er ohne das Wissen der Router-Eigentümer Firewall-Regeln auf den Geräten gesetzt, die es Angreifern nicht mehr erlauben, die Lücke von außen auszunutzen. In den meisten Ländern dürfte die Aktion unter Strafe stehen.

Neben den neuen Firewall-Regeln hinterlässt er Kommentare, in denen er die Sicherheitslücke beschreibt und eine Kontaktmöglichkeit über einen Telegram-Channel. Ungefähr 50 Betroffene sollen sich dort zurückgemeldet haben, die meisten waren sauer, nur wenige hätten sich bedankt, so Alexey.

Die Sicherheitslücke wird ausgenutzt

Durch die Sicherheitslücke CVE-2018-14847 können Angreifer die Zugangsdaten aus dem Mikrotik Router auslesen und sich anschließend damit auf dem Router einloggen. Neben dem Verändern der Einstellungen des Gerätes, beispielsweise der DNS-Server, lassen sich auch Skripte oder eine Rootshell ausführen. Mit By the Way gibt es eine Software auf Github, mit der sich die Lücke automatisiert ausnutzen lässt.

Die Lücke wird seit Monaten von Kriminellen aktiv ausgenutzt. Einem Blogpost der Webseite Bad Packets Report zufolge waren Ende September weltweit über 200.000 Geräte von Mikrotik mit Kryptominer-Malware versehen.

Auch Proxy-Server bei Internet-Zugangsprovidern sind von der Sicherheitslücke betroffen und wurden bisher nicht aktualisiert. Auch hier nutzen Kriminelle die Sicherheitslücke aus und fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Betroffen ist unter anderem der in Bayern ansässige Provider TKN Deutschland.  (mtr)


Verwandte Artikel:
IoT-Sicherheitslücken: Kalifornien verbietet Standard-Passwörter   
(08.10.2018, https://glm.io/136988 )
Mikrotik: Proxy-Server fügen Kryptominer ein   
(11.10.2018, https://glm.io/137071 )
Sicherheit: Fünf von sechs Routern enthalten bekannte Sicherheitslücken   
(05.10.2018, https://glm.io/136957 )
Router-Malware: VPN Filter bricht HTTPS-Verbindungen auf   
(07.06.2018, https://glm.io/134823 )
Router und Switches: Kritische Sicherheitslücke in Cisco ASA wird ausgenutzt   
(12.02.2018, https://glm.io/132714 )

© 1997–2019 Golem.de, https://www.golem.de/