MikroTik publicou uma declaração oficial sobre o botnet Mēris, que é apoiado, entre outras coisas, por equipamentos de um fabricante letão. O documento fornece medidas de proteção contra ataques a equipamentos.
O botnet Mēris foi descoberto por especialistas do Qrator Labs e Yandex quando o ataque DDoS mais poderoso da história foi realizado contra os recursos deste último. De acordo com dados preliminares, o equipamento MikroTik foi usado no botnet. A marca letã conduziu sua própria investigação e descobriu que o ataque envolvia roteadores comprometidos em 2018, quando uma vulnerabilidade na plataforma RouterOS foi descoberta, que foi posteriormente eliminada prontamente.
No entanto, observou MikroTik, apenas atualizar o firmware não é suficiente – se alguém teve acesso ao roteador em 2018, então você ainda precisa alterar a senha. Além disso, o fabricante indicou a necessidade de verificar as configurações do firewall e procurar os scripts que o administrador não criou. A empresa tentou entrar em contato com todos os proprietários de dispositivos baseados em RouterOS, porém muitos deles nunca tiveram contato com a MikroTik e nunca prestaram muita atenção ao monitoramento de dispositivos.
No momento, garantiu a empresa, seus produtos não apresentam vulnerabilidades. O RouterOS foi auditado por vários fornecedores terceirizados. O fabricante publicou uma série de recomendações para proteção contra tais ataques.
- O dispositivo precisa ser atualizado regularmente.
- Não abra o acesso às configurações do dispositivo pela Internet. Se o acesso remoto ainda for necessário, é melhor usar um serviço VPN.
- A senha deve ser complexa e deve ser alterada regularmente.
- Não presuma que sua rede local é segura. O software malicioso pode tentar se conectar ao roteador se ele tiver uma senha simples ou se não existir.
- Recomenda-se inspecionar a configuração do RouterOS para configurações desconhecidas.
Em colaboração com especialistas de segurança independentes, foi descoberto um malware que tenta alterar a configuração de um dispositivo MikroTik através de computadores Windows na rede. Portanto, a empresa recomenda fortemente o uso de uma senha forte para acessar o equipamento, não permitir o acesso sem senha e não utilizar senhas simples que podem ser obtidas em um dicionário. O fabricante também aconselhou a auditoria da configuração.
- Remova scripts de busca no planejador.
- Desative o proxy SOCKS se não estiver em uso.
- Remova o cliente L2TP “lvpn”.
- Adicione uma regra de firewall que permite o acesso por meio da porta 5678.