Компанія MikroTik опублікувала офіційну заяву щодо ботнету Mēris, робота якого забезпечується в тому числі обладнанням латвійського виробника. У документі наведено заходи щодо захисту від атак на обладнання. Ботнет Mēris був виявлений фахівцями Qrator Labs, коли на ресурси останнього була здійснена найпотужніша DDoS-атака в історії. За попередніми даними, в ботнет використовувалося обладнання MikroTik. Латвійський бренд провів власне розслідування і встановив, що в атаці брали участь роутери, скомпрометовані у 2018 році, коли була виявлена уразливість платформи RouterOS, яка згодом була оперативно усунена.
Однак, зазначила MikroTik, одного тільки оновлення прошивки недостатньо – якщо хтось у 2018 році отримав доступ до роутера, то необхідно ще змінити пароль. Крім того, виробник вказав на необхідність перевірити настройки брандмауера і пошукати скрипти, які адміністратор не створював.
Компанія спробувала зв’язатися з усіма власниками пристроїв на базі RouterOS, проте багато з них ніколи не були в контакті з MikroTik і ніколи не приділяли особливу увагу моніторингу пристроїв. На поточний момент, запевнила компанія, вразливостей у її продукції немає. Кілька сторонніх підрядників провели аудит RouterOS. Виробник опублікував ряд рекомендацій щодо захисту від подібних атак.
- Необхідно регулярно оновлювати пристрій.
- Не слід відкривати доступ до налаштувань пристрою через інтернет.
- Якщо віддалений доступ все ж обов’язковий, краще користуватися VPN-сервісом.
- Пароль повинен бути складним і його регулярно потрібно міняти.
- Не варто припускати, що локальна мережа безпечна.
- Шкідливе ПЗ може спробувати приєднатися до роутера, якщо на ньому простий пароль, або він взагалі відсутній.
- Рекомендується проінспектувати конфігурацію RouterOS на предмет невідомих налаштувань.
У співпраці з незалежними експертами з безпеки було виявлено шкідливе ПО, яке намагається змінити конфігурацію пристрою MikroTik через Windows-комп’ютери в мережі. Тому компанія настійно рекомендує використовувати надійний пароль для доступу до обладнання, не допускати можливості входу без пароля і не використовувати прості паролі, які можна підібрати по словнику. Виробник також дав поради щодо аудиту конфігурації.
- Видалити Fetch-скрипти за розкладом.
- Відключити проксі-сервер SOCKS, якщо він не використовується.
- Видалити L2TP-клієнт «lvpn».
- Додати правило брандмауера, що відкриває доступ через порт 5678.