Dispositivos MikroTik no Brasil afetados por uma botnet

Foi descoberta uma rede “zumbi”, uma botnet formada por dispositivos IoT (Internet das Coisas), entre os quais se destacariam roteadores da MikroTik. É o que afirmam os pesquisadores da Radware, empresa de segurança especializada em ataques DDoS.

Os dispositivos da MikroTik que estariam participando dessa botnet seriam aqueles que não aplicaram a atualização no sistema RouterOS v6.38.4, que corrigia uma falha de segurança descoberta a cerca de um ano. A própria botnet não é novidade, pois ela já havia sido identificada em 2017 pelos pesquisadores da Kaspersky com o nome de “Hajime”, tendo atacado dispositivos de outros fabricantes como ZTE, ZyXEL e ARRIS.

Análises preliminares do pesquisadores sugerem que o botnet está explorando vulnerabilidades conhecidas do sistema da MikroTik (HTTP, SMB), bem como ataques de força bruta de senha. O malware tem um mecanismo de propagação altamente eficiente, examinando agressivamente a porta 8291, a fim de identificar dispositivos MikroTik disponíveis publicamente e usando os recursos de quebra de senhas para infectar dispositivos vizinhos. Além da porta de varredura 8291, o malware tem como alvo as seguintes portas: 80, 81, 82, 8080, 8081, 8082, 8089, 8181, 8880.

O Brasil aparece em primeiro lugar com mais de 7000 dispositivos na botnet. Em ataques realizados anteriormente, como o Mirai que infectava sistemas de monitoramento de câmeras , o Brasil estava na 2ª posição de países mais afetados.

A MikroTik recomenda bloquear a porta 80/8291 (Web/Winbox) com um firewall de aplicativo web e atualizar os dispositivos RouterOS para a v6.41.3 (ou pelo menos, acima da v6.38.4). Maiores informações sobre a atualização, nos canais de comunicação do fabricante.

 

Fontes consultadas: Security Boulevard / G1

Imagens: Security Boulevard

Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec