Події

MikroTik випустила рекомендації щодо захисту обладнання від ботнету Mēris

0

Компанія MikroTik опублікувала офіційну заяву щодо ботнету Mēris, робота якого забезпечується в тому числі обладнанням латвійського виробника. У документі наведено заходи щодо захисту від атак на обладнання. Ботнет Mēris був виявлений фахівцями Qrator Labs, коли на ресурси останнього була здійснена найпотужніша DDoS-атака в історії. За попередніми даними, в ботнет використовувалося обладнання MikroTik. Латвійський бренд провів власне розслідування і встановив, що в атаці брали участь роутери, скомпрометовані у 2018 році, коли була виявлена ​​уразливість платформи RouterOS, яка згодом була оперативно усунена.

Однак, зазначила MikroTik, одного тільки оновлення прошивки недостатньо – якщо хтось у 2018 році отримав доступ до роутера, то необхідно ще змінити пароль. Крім того, виробник вказав на необхідність перевірити настройки брандмауера і пошукати скрипти, які адміністратор не створював.

Компанія спробувала зв’язатися з усіма власниками пристроїв на базі RouterOS, проте багато з них ніколи не були в контакті з MikroTik і ніколи не приділяли особливу увагу моніторингу пристроїв. На поточний момент, запевнила компанія, вразливостей у її продукції немає. Кілька сторонніх підрядників провели аудит RouterOS. Виробник опублікував ряд рекомендацій щодо захисту від подібних атак.

  • Необхідно регулярно оновлювати пристрій.
  • Не слід відкривати доступ до налаштувань пристрою через інтернет.
  • Якщо віддалений доступ все ж обов’язковий, краще користуватися VPN-сервісом.
  • Пароль повинен бути складним і його регулярно потрібно міняти.
  • Не варто припускати, що локальна мережа безпечна.
  • Шкідливе ПЗ може спробувати приєднатися до роутера, якщо на ньому простий пароль, або він взагалі відсутній.
  • Рекомендується проінспектувати конфігурацію RouterOS на предмет невідомих налаштувань.

У співпраці з незалежними експертами з безпеки було виявлено шкідливе ПО, яке намагається змінити конфігурацію пристрою MikroTik через Windows-комп’ютери в мережі. Тому компанія настійно рекомендує використовувати надійний пароль для доступу до обладнання, не допускати можливості входу без пароля і не використовувати прості паролі, які можна підібрати по словнику. Виробник також дав поради щодо аудиту конфігурації.

  • Видалити Fetch-скрипти за розкладом.
  • Відключити проксі-сервер SOCKS, якщо він не використовується.
  • Видалити L2TP-клієнт «lvpn».
  • Додати правило брандмауера, що відкриває доступ через порт 5678.

Читати також

Коментарі

Коментування закрите.