MikroTik выпустила рекомендации по защите оборудования от ботнета Mēris
Компания MikroTik опубликовала официальное заявление относительно ботнета Mēris, работа которого обеспечивается в том числе оборудованием латвийского производителя. В документе приведены меры по защите от атак на оборудование.
Ботнет Mēris был обнаружен специалистами Qrator Labs и "Яндекса", когда на ресурсы последнего была осуществлена самая мощная DDoS-атака в истории. По предварительным данным, в ботнете использовалось оборудование MikroTik. Латвийский бренд провел собственное расследование и установил, что в атаке участвовали роутеры, скомпрометированные в 2018 году, когда была обнаружена уязвимость платформы RouterOS, которая впоследствии была оперативно устранена.
Однако, отметила MikroTik, одного только обновления прошивки недостаточно - если кто-то в 2018 году получил доступ к роутеру, то необходимо еще сменить пароль. Кроме того, производитель указал на необходимость проверить настройки брандмауэра и поискать скрипты, которые администратор не создавал. Компания попыталась связаться со всеми владельцами устройств на базе RouterOS, однако многие из них никогда не были в контакте с MikroTik и никогда не уделяли особого внимания мониторингу устройств.
На текущий момент, заверила компания, уязвимостей у ее продукции нет. Несколько сторонних подрядчиков провели аудит RouterOS. Производитель опубликовал ряд рекомендаций по защите от подобных атак.
- Необходимо регулярно обновлять устройство.
- Не следует открывать доступ к настройкам устройства через интернет. Если удаленный доступ все же обязателен, лучше пользоваться VPN-сервисом.
- Пароль должен быть сложным и его регулярно нужно менять.
- Не стоит предполагать, что локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к роутеру, если на нем простой пароль, либо он вообще отсутствует.
- Рекомендуется проинспектировать конфигурацию RouterOS на предмет неизвестных настроек.
В сотрудничестве с независимыми экспертами по безопасности было обнаружено вредоносное ПО, которое пытается изменить конфигурацию устройства MikroTik через Windows-компьютеры в сети. Поэтому компания настоятельно рекомендует использовать надежный пароль для доступа к оборудованию, не допускать возможности входа без пароля и не использовать простые пароли, которые можно подобрать по словарю. Производитель также дал советы по аудиту конфигурации.
- Удалить Fetch-скрипты в планировщике.
- Отключить прокси-сервер SOCKS, если он не используется.
- Удалить L2TP-клиент "lvpn".
- Добавить правило брандмауэра, открывающее доступ через порт 5678.