据白帽汇安全研究院统计,目前发现超过30w的MikroTik路由器被植入挖矿代码,攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取(CVE-2018-14847)漏洞。完整的PoC在今年5月份已经被公布(https://github.com/BasuCert/WinboxPoC),官方在4月份更新了固件并修复了该漏洞,但是目前仍存在大量用户的没有及时进行更新系统补丁导致被入侵。CVE-2018-14847漏洞影响从6.29到6.42的所有版本的RouterOS。远程攻击者可利用该漏洞绕过身份验证并读取任意文件。攻击者可完全控制该设备,危害极大。
Winbox是一个Windows GUI应用程序,是路由器管理系统RouterOS的一个组件。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。根据白帽汇安全研究院统计,FOFA平台可以搜到230万的Winbox服务。Winbox的全球分布(仅为分布情况,非漏洞影响情况),国内数量还是很多的。
挖矿分析
目前有超过30w的MikroTik路由器已被植入挖矿脚本,某个攻击者已经入侵了10w多的设备,目前数量最多。一个月前数量还是13w,增长了17w多,现在数量仍在已每天1w+的数量持续上升。根据FOFA最新数据分析,以下是被植入的挖矿脚本中KEY或钱包地址及数量统计:
目前已经受感染的设备已经超过30万。巴西有143469,俄罗斯有29095,印度有31102,印度尼西亚有17248,美国有9453。
全球感染挖矿分布
漏洞分析
据分析,黑客利用的是4月份公布的CVE-2018-14847漏洞,虽然官方已修复,但由于其数量庞大的用户群体,仍有大量设备未打补丁,黑客可以利用该漏洞登录路由器。
登录进路由器后,可以进行文件上传,流量监听,执行命令,配置定时任务等操作。目前发现许多黑客批量利用路由器进行挖矿,其挖矿手法并不是在路由器上运行恶意可执行文件,而是通过路由器功能推送包含挖矿脚本的自定义错误页面。接入到该路由器的用户,只要用户在浏览网页时跳转到任何类型的错误页面,都会打开这个包含挖矿脚本的自定义错误页面。如果后端本地服务器也连接到路由器,只要用户连接到了这个服务器,即使没有直接连接到受感染路由器,也会受到影响。
目前发现被挖矿的设备已经无法登陆,也就是说除了目前已经确认被入侵的20多万台设备,还有10到20万台设备面临被入侵的风险。
用户可以在MikroTik RouterOS设备上进行抓包,并把捕获的网络流量转发到指定Stream服务器。目前发现一些黑客在监听该设备。主要监听一些明文数据传输协议对应的端口,比如:20,21,25,110,143端口,这些端口分别对应FTP-data,FTP,SMTP,POP3,IMAP协议。黑客可以根据抓到的受害者的相关网络流量,获取FTP文件,FTP账号密码,电子邮件内容,电子邮件账号密码等。下面是流量监听界面。
CVE
CVE-2018-14847
POC
目前FOFA客户端已经收录该漏洞POC。
修复建议
- 更新软件系统,同时检测代理和网络流量抓包功能是否被黑客篡改利用。官方地址为https://mikrotik.com/
- 不要将Winbox端口映射到外网。
白帽汇会持续跟进分析,请持续关注链接https://nosec.org/home/detail/1841.html
参考链接
[1] POC: https://github.com/BasuCert/WinboxPoC
[3] 《窃听风云: 你的MikroTik路由器正在被监听》https://mp.weixin.qq.com/s/s63kGzl6uxSp7tiYBc9_FA