MikroTik выпустила рекомендации по защите оборудования от ботнета Mēris

Компания MikroTik опубликовала официальное заявление относительно ботнета Mēris, работа которого обеспечивается в том числе оборудованием латвийского производителя. В документе приведены меры по защите от атак на оборудование.

mikrotik.com

Ботнет Mēris был обнаружен специалистами Qrator Labs и «Яндекса», когда на ресурсы последнего была осуществлена самая мощная DDoS-атака в истории. По предварительным данным, в ботнете использовалось оборудование MikroTik. Латвийский бренд провёл собственное расследование и установил, что в атаке участвовали роутеры, скомпрометированные в 2018 году, когда была обнаружена уязвимость платформы RouterOS, которая впоследствии была оперативно устранена.

Однако, отметила MikroTik, одного только обновления прошивки недостаточно — если кто-то в 2018 году получил доступ к роутеру, то необходимо ещё сменить пароль. Кроме того, производитель указал на необходимость проверить настройки брандмауэра и поискать скрипты, которые администратор не создавал. Компания попыталась связаться со всеми владельцами устройств на базе RouterOS, однако многие из них никогда не были в контакте с MikroTik и никогда не уделяли особого внимания мониторингу устройств.

На текущий момент, заверила компания, уязвимостей у её продукции нет. Несколько сторонних подрядчиков провели аудит RouterOS. Производитель опубликовал ряд рекомендаций по защите от подобных атак.

  • Необходимо регулярно обновлять устройство.
  • Не следует открывать доступ к настройкам устройства через интернет. Если удалённый доступ всё же обязателен, лучше пользоваться VPN-сервисом.
  • Пароль должен быть сложным и его регулярно нужно менять.
  • Не стоит предполагать, что локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к роутеру, если на нем простой пароль, либо он вообще отсутствует.
  • Рекомендуется проинспектировать конфигурацию RouterOS на предмет неизвестных настроек.

В сотрудничестве с независимыми экспертами по безопасности было обнаружено вредоносное ПО, которое пытается изменить конфигурацию устройства MikroTik через Windows-компьютеры в сети. Поэтому компания настоятельно рекомендует использовать надёжный пароль для доступа к оборудованию, не допускать возможности входа без пароля и не использовать простые пароли, которые можно подобрать по словарю. Производитель также дал советы по аудиту конфигурации.

  • Удалить Fetch-скрипты в планировщике.
  • Отключить прокси-сервер SOCKS, если он не используется.
  • Удалить L2TP-клиент «lvpn».
  • Добавить правило брандмауэра, открывающее доступ через порт 5678.

Источник

Добавить комментарий