数万台 MikroTik 和优博通路由器遭涂鸦
翻译:360代码卫士团队
数万台 MikroTik 和优博通 (Ubiquiti) 路由器目前暴露在网上,其主机名被改为 “HACKED FTP server"、 "HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED" 或 "HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD"。
实际上这些设备并未遭入侵而只是遭涂鸦,而且似乎只是恶作剧而已。攻击者并未接管设备只是更改了设备名称(主机名),对设备机主发出警告希望用户能采取措施确保路由器的安全。
物联网安全公司 NewSky Security 的首席研究员 Ankit Anubhav 表示这些非恶意入侵行为从去年夏天开始一直持续到现在。
他表示首次在去年7月份发现涂鸦,当时超过3.6万台优博通路由器拥有奇怪的主机名,如今该数字增长为4万台。遭攻陷的优博通路由器主机名是曾用于2016年攻击活动中的名称,当时黑客将登陆用户名和密码改为 “mother” 和 “fucker”。但去年和今年对优博通路由器的涂鸦并未对用户密码进行更改。
目前,优博通路由器遭涂鸦的消息至少在信息安全圈子已传开,而少有人知道的是,Anubhav 本周早些时候发现 MikroTik 设备也遭涂鸦。Anubhav 检测到7300多台遭涂鸦的路由器,占所有可从互联网检索到的MikroTik 设备的1.3%。
这些攻击引发一些恐慌,因为没人知道是如何发送的。
Anubhav和研究员 Vesselin Bontchev 博士最初分析后认为这些攻击是通过维基解密 Vault 7 文件(即 CIA 网络武器文档)中的一个利用执行的。去年一名研究员逆向了这个利用 (Chimay Red) 并将代码发布在 GitHub 上,导致 MikroTik 发布了一个固件更新。但进一步分析后,Anubhav 发现其中一些遭涂鸦设备运行的是已修复版本。
Anubhav 从 MikroTik 论坛上发现用户抱怨设备被涂鸦后,真相大白。这些用户承认自己使用了默认凭证或并未使用凭证。
MikroTik 公司的一名发言人表示,似乎有人写了一个可以登录到未受保护设备的脚本并修改了身份名称。RouterOS 设备默认拥有一个密码和防火墙,但由于不可知原因这些都被删除了。
实际上实施涂鸦的人本可以造成更严重的破坏,但只不过选择将路由器的 FTP 服务器主机名重命名为 “HACKED FTP server”。
保证家庭路由器的安全对于不具备技术能力的用户而言并非易事,用户可通过阅读相关基础知识为自己的设别安全保驾护航。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/tens-of-thousands-of-defaced-mikrotik-and-ubiquiti-routers-available-online/