Spionage und Krypto-Mining: MikroTik-Router angreifbar

Sicherheitslücken aus dem Spionage-Fundus der CIA machen RouterOS-Geräte des Herstellers MikroTik zum Risiko, denn deren Nutzer können überwacht werden.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
Spionage und Krypto-Mining: MikroTik-Router angreifbar

In der Firmware von Routern des lettischen Herstellers MikroTik stecken mehrere kritische Sicherheitslücken.

(Bild: MikroTik)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Tausende Router des lettischen Herstellers MicroTik sind über Sicherheitslücken im Betriebssystem RouterOS angreifbar. Zwei Sicherheitslücken aus dem Vault-7-Fundus der CIA erlauben das Auslesen von Daten und das Ausführen von beliebigem Schadcode über Management-Software für RouterOS namens Winbox und Webfig. Eine der Sicherheitslücken (CVE-2018-14847) ist seit mindestens Anfang August unter Beobachtung, Angreifer missbrauchen sie allerdings schon seit geraumer Zeit für Angriffe auf RouterOS-Geräte. Verwundbare Geräte haben mehrere offene Ports, über die Angreifer die Geräte kapern können.

Wie die chinesische Sicherheitsfirma 360 Netlab berichtet, versuchen Angreifer auf den verwundbaren Routern die Mining-Software Coinhive zu installieren. Den Anwendern des Routers werden Fehlermeldungen angezeigt, die den Coinhive-Code nachladen, der dann verdeckt Kryptogeld schürft. Allerdings funktioniert dieser Angriff momentan wohl eher schlecht als recht, weil die unbekannten Hacker einen Fehler bei der Umsetzung gemacht haben.

Gravierender sind Angriffe auf die verwundbaren MikroTik-Router, bei denen bestimmte Ports überwacht werden und deren sämtlicher Traffic mit dem Sniffer-Protokoll TZSP an unbekannte Angreifer weitergeleitet wird. Diese können also den kompletten Traffic des Routers auf von ihnen voreingestellten Ports sehen. Überwacht wird hier wohl vor allem FTP- und E-Mail-Verkehr der Nutzer. Ob diese Überwachung der in den Vault-7-Leaks beschriebenen Horchaktion "Cherry Blossom" der CIA entspringt, oder ob andere Angreifer im Spiel sind, ist zu diesem Zeitpunkt nicht klar.

Von den Sicherheitslücken betroffen sind laut 360 Netlab alle MikroTik-Router mit RouterOS bis Version 6.42 – ob das die aktuelle Version 6.42.7 einschließt, ist unklar. Weder in den Changelogs der Version 6.42.7 noch der aktuellen Entwicklungsversion 6.43rc66 werden die von 360 Netlab entdeckten Sicherheitslücken erwähnt. Lediglich mehrere ähnlich Lücken, die im August von der Sicherheitsfirma Tenable gemeldet wurden, sind von MikroTik behoben worden. So oder so sollten Anwender schnellstmöglich die Software der Geräte auf den aktuellen Stand bringen und dort auch halten. Firmware-Updates für die Router, die vor allem in kleinen Firmen und bei Privatanwendern im Einsatz sind, finden sich auf einer Support-Seite des Herstellers.

Update 05.09.2018, 16:26 Uhr:

MikroTik hat uns soeben darauf hingewiesen, dass die beschriebenen Sicherheitslücken bereits im März geschlossen wurden. Laut MikroTik handelt es sich bei den beiden von 360 Netlab beschriebenen Lücken um die Winbox-Schwachstelle, welche die Firma bereits in ihrem Blog beschrieben hatte. Laut MikroTik sind alle Firmware-Versionen ab 6.42.1 abgesichert, wenn der Nutzer die voreingestellte Firewall nicht deaktiviert hat. (fab)