MikroTik lançou recomendações para proteção de equipamentos do botnet Mēris

MikroTik publicou uma declaração oficial sobre o botnet Mēris, que é apoiado, entre outras coisas, por equipamentos de um fabricante letão. O documento fornece medidas de proteção contra ataques a equipamentos.

Fonte: mikrotik.com

O botnet Mēris foi descoberto por especialistas do Qrator Labs e Yandex quando o ataque DDoS mais poderoso da história foi realizado contra os recursos deste último. De acordo com dados preliminares, o equipamento MikroTik foi usado no botnet. A marca letã conduziu sua própria investigação e descobriu que o ataque envolvia roteadores comprometidos em 2018, quando uma vulnerabilidade na plataforma RouterOS foi descoberta, que foi posteriormente eliminada prontamente.

No entanto, observou MikroTik, apenas atualizar o firmware não é suficiente – se alguém teve acesso ao roteador em 2018, então você ainda precisa alterar a senha. Além disso, o fabricante indicou a necessidade de verificar as configurações do firewall e procurar os scripts que o administrador não criou. A empresa tentou entrar em contato com todos os proprietários de dispositivos baseados em RouterOS, porém muitos deles nunca tiveram contato com a MikroTik e nunca prestaram muita atenção ao monitoramento de dispositivos.

No momento, garantiu a empresa, seus produtos não apresentam vulnerabilidades. O RouterOS foi auditado por vários fornecedores terceirizados. O fabricante publicou uma série de recomendações para proteção contra tais ataques.

• O dispositivo precisa ser atualizado regularmente.
• Não abra o acesso às configurações do dispositivo pela Internet. Se o acesso remoto ainda for necessário, é melhor usar um serviço VPN.
• A senha deve ser complexa e deve ser alterada regularmente.
• Não presuma que sua rede local é segura. O software malicioso pode tentar se conectar ao roteador se ele tiver uma senha simples ou se não existir.
• Recomenda-se inspecionar a configuração do RouterOS para configurações desconhecidas.

Em colaboração com especialistas de segurança independentes, foi descoberto um malware que tenta alterar a configuração de um dispositivo MikroTik através de computadores Windows na rede. Portanto, a empresa recomenda fortemente o uso de uma senha forte para acessar o equipamento, não permitir o acesso sem senha e não utilizar senhas simples que podem ser obtidas em um dicionário. O fabricante também aconselhou a auditoria da configuração.

• Remova scripts de busca no planejador.
• Desative o proxy SOCKS se não estiver em uso.
• Remova o cliente L2TP “lvpn”.
• Adicione uma regra de firewall que permite o acesso por meio da porta 5678.