Компанія mikrotik опублікувала офіційну заяву щодо ботнету mēris, робота якого забезпечується в тому числі обладнанням латвійського виробника. У документі наведено заходи щодо захисту від атак на обладнання.

Джерело: mikrotik.com

Ботнет mēris був виявлений фахівцями qrator labs і» яндекса”, коли на ресурси останнього була здійснена найпотужніша ddos-атака в історії. За попередніми даними, в ботнеті використовувалося обладнання mikrotik. Латвійський бренд провів власне розслідування і встановив, що в атаці брали участь роутери, скомпрометовані в 2018 році, коли була виявлена уразливість платформи routeros, яка згодом була оперативно усунена.

Однак, зазначила mikrotik, одного тільки оновлення прошивки недостатньо — якщо хтось в 2018 році отримав доступ до роутера, то необхідно ще змінити пароль. Крім того, виробник вказав на необхідність перевірити налаштування брандмауера і пошукати скрипти, які адміністратор не створював. Компанія спробувала зв’язатися з усіма власниками пристроїв на базі routeros, проте багато з них ніколи не були в контакті з mikrotik і ніколи не приділяли особливої уваги моніторингу пристроїв.

На поточний момент, запевнила компанія, вразливостей у її продукції немає. Кілька сторонніх підрядників провели аудит routeros. Виробник опублікував ряд рекомендацій щодо захисту від подібних атак.

  • необхідно регулярно оновлювати пристрій.
  • не слід відкривати доступ до налаштувань пристрою через інтернет. Якщо віддалений доступ все ж обов’язковий, краще користуватися vpn-сервісом.
  • пароль повинен бути складним і його регулярно потрібно міняти.
  • не варто припускати, що локальна мережа безпечна. Шкідливе пз може спробувати підключитися до роутера, якщо на ньому простий пароль, або він взагалі відсутній.
  • рекомендується проінспектувати конфігурацію routeros на предмет невідомих налаштувань.

У співпраці з незалежними експертами з безпеки було виявлено шкідливе пз, яке намагається змінити конфігурацію пристрою mikrotik через windows-комп’ютери в мережі. Тому компанія настійно рекомендує використовувати надійний пароль для доступу до обладнання, не допускати можливості входу без пароля і не використовувати прості паролі, які можна підібрати за словником. Виробник також дав поради щодо аудиту конфігурації.

  • видалити fetch-скрипти в планувальнику.
  • відключити проксі-сервер socks, якщо він не використовується.
  • видалити l2tp-клієнт “lvpn”.