Alert!

Hunderttausende MikroTik-Router sind seit 2018 angreifbar

Ein auf die Geräte spezialisiertes Botnetz hat in den vergangenen Monaten großangelegte Angriffe auf Cloudflare und Yandex zu verantworten.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen

(Bild: ElRoi/Shutterstock.com)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Router des lettischen Herstellers MikroTik für den Einsatz zu Hause oder in kleinen Betrieben bilden den Großteils der Bot-Armee des DDoS-Botnetzes Mēris, das in den letzten Monaten gigantische Angriffe gegen den Cloud-Dienstleister Cloudflare und den russischen Internet-Großkonzern Yandex zu verantworten hatte. Cloudflare berichtete von einem Angriff mit bis zu 17 Millionen Zugriffen pro Sekunde. Der Angriff auf Yandex soll noch heftiger gewesen sein.

Laut den Analysten der Sicherheitsfirma Qrator Labs besteht Mēris, eine Weiterentwicklung des quelloffenen DDoS-Botnetz-Codes von Mirai, aus bis zu 250.000 Bots. Der Analyse nach sind die meisten dieser Bots gekaperte Router von MikroTik. Angreifer, die im Internet nach Bots für DDoS-Angriffe suchen, wissen solche Router zu schätzen, da sie eigentlich immer mit dem Internet verbunden sind und im Gegensatz zu vielen IoT-Geräten über Hardware verfügen, die signifikante Rechenleistung und Speicher zur Verfügung stellen. "Mēris" ist Lettisch und bedeutet, durchaus passend, "die Pest".

Überraschenderweise scheinen die aktuellen Angriffe auf gekaperte Router zurückzugehen, die wegen einer alten Sicherheitslücke angreifbar sind. Die Lücke wurde bereits im März 2018 mit Firmware-Version 6.42.1 der betreffenden Router abgesichert. Im Dezember 2018 wurde dann bekannt, dass die Router nach wie vor massenhaft gekapert werden. Zu diesem Zeitpunkt wurden die Geräte meist von Kriminellen kompromittiert, um darauf ohne Wissen der Besitzer Krypto-Geld zu schürfen.

Diese Situation scheint sich in den letzten drei Jahren nicht sehr viel geändert zu haben, denn MikroTik warnt nun erneut davor, dass gekaperte Router der Firma nach wie vor unter der Kontrolle von Angreifern sind. Der Hersteller vermutet, dass die Angreifer 2018 Zugangspasswörter zu den betroffenen Geräten erbeutet haben und immer noch auf diese zugreifen können, da die Passwörter nie geändert wurden. Selbst wenn die Router danach mit Sicherheitsupdates abgesichert wurden, hätten die Angreifer so immer noch Zugang.

MikroTik empfiehlt den Nutzern seiner Geräte, deren Passwörter nun zu ändern und bei Gelegenheit die Sicherheit dieser Passwörter zu verbessern. Außerdem sollten alle aktuellen Sicherheits-Updates für die Geräte installiert werden und Nutzer sollen die Konfiguration der Geräte auf Einstellungen überprüfen, die sie selbst nicht geändert haben. MikroTik empfiehlt weiter, das Web Interface der Router nicht aus dem Internet zugänglich zu machen und die Geräte nur aus dem lokalen Netz zu verwalten. Müssen die Geräte aus der Ferne verwaltet werden, empfiehlt der Hersteller, einen VPN-Zugang einzurichten.

Der Router-Hersteller hat Trojaner entdeckt, die, sobald sie von einem nichtsahnenden Anwender auf einem Windows-Rechner installiert werden, im lokalen Netzwerk nach MikroTik-Routern suchen, um diese zu kapern. Diese Malware versucht, die Sicherheitslücke von 2018 auszunutzen. Wenn diese gepatcht wurde, scheint sie sich allerdings darauf zu verlegen, etwaige schwache Admin-Passwörter der Router zu knacken.

MikroTik sagt, man hätte versucht, die eigenen Kunden zu erreichen und über den Missstand zu informieren, allerdings nicht viel Erfolg gehabt. "Viele unserer Kunden hatten nie Kontakt zu MikroTik und kümmern sich nicht aktiv um ihre Geräte." Man arbeite nun an "anderen Möglichkeiten", das Problem der Zombie-Router anzugehen. Was genau diese Möglichkeiten sind, sagt der Hersteller in seiner Mitteilung nicht.

(fab)