MikroTik признала, что ее устройства входили в ботнет Mēris

В блоге MikroTik появилось официальное заявление компании относительно ботнета Mēris.

MikroTik уточнила, что ботнет Mēris управляет сетевыми устройствами, которые были взломаны в 2018 году с использованием уязвимости RouterOS под номером CVE-2018-14847. Производитель тогда постарался оперативно исправить эту уязвимость, но до сих пор многие пользователи не обновили свои устройства или забыли после обновления сменить пароль.

"К сожалению, закрытие уязвимости не сразу защищает эти маршрутизаторы. Если кто-то получил ваш пароль в 2018 году, просто обновление не поможет. Вы также должны изменить пароль, повторно проверить свой брандмауэр, если он не разрешает удаленный доступ неизвестным сторонам, и поискать сценарии, которые вы не создавали", - говорится в заявлении.

Представители MikroTik уверяют, что на данный момент в их устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими подрядчиками.

Производитель обратился к пользователям с просьбой выполнить ряд действий, чтобы защититься от подобных атак.

• Регулярно обновляйте устройство.
• Не открывайте доступ к настройкам устройства через интернет.
• Если удалённый доступ всё же обязателен, пользуйтесь VPN-сервисом.
• Используйте надежный пароль и регулярно меняйте его.
• Не думайте, что вашей локальной сети можно доверять.
• Вредоносное ПО может попытаться подключиться к вашему маршрутизатору, если на нем ненадежный пароль, либо он вообще отсутствует.
• Проверьте конфигурацию RouterOS на наличие неизвестных настроек.

Производитель также дал советы по аудиту конфигурации.

• Удалите Fetch-скрипты в планировщике.
• Отключите прокси-сервер SOCKS, если он не используется.
• Удалите L2TP-клиент «lvpn».
• Удалит правило брандмауэра, открывающее доступ через порт 5678.