Spezialisiertes Botnetz hat großangelegte Angriffe auf Yandex und Cloudflare durchgeführt
Die beliebten Geräte des lettischen Herstellers MikroTik die für den Einsatz zu Hause oder in kleineren Betrieben konzipiert sind, bilden den Großteils der Bot-Armee des DDoS-Botnetzes Mēris, das in den letzten Monaten gigantische Angriffe gegen den Cloud-Dienstleister Cloudflare und den russischen Internet-Großkonzern Yandex zu verantworten hatte. Laut einem Cloudflare Bericht geht hervor, daß bis zu 17 Millionen Zugriffe pro Sekunde gezählt wurden. Laut den Analysten der Sicherheitsfirma Qrator Labs besteht Mēris, eine Weiterentwicklung des quelloffenen DDoS-Botnetz-Codes von Mirai, aus bis zu 250.000 Bots. Laut dieser Analyse sind die meisten dieser Bots manipulierte MikroTik Router.
Alte Sicherheitslücke mit gravierenden Konsequenzen
Derzeit gehen die Angriffe aber zurück so scheint es. Laut dem Hersteller wurde die Lücke bereits im März 2018 mit der Firmware 6.42.1 behoben. Im Dezember 2018 wurde dann aber leider bekannt, dass die Geräte nach wie vor reihenweise gekapert wurden und als Botnetz missbraucht. Zu diesem Zeitpunkt wurden die Geräte meist von Kriminellen kompromittiert, um darauf ohne Wissen der Besitzer Krypto-Geld zu schürfen.
Diese Situation scheint sich in den letzten drei Jahren nicht geändert zu haben, denn MikroTik warnt nun erneut davor, dass gekaperte Router nach wie vor unter der Kontrolle von Angreifern sind. Der Hersteller vermutet, dass die Angreifer 2018 Zugangspasswörter zu den betroffenen Geräten erbeutet haben und immer noch auf diese zugreifen können, da die Passwörter nie geändert wurden. Selbst wenn die Router danach mit Sicherheitsupdates abgesichert wurden, hätten die Angreifer so immer noch Zugang.
Nutzer sollen unbedingt ihre Passwörter ändern
Der Hersteller MikroTik empfiehlt allen Nutzern seiner Geräte, deren Passwörter umgehend zu ändern und auch die Sicherheit dieser Passwörter zu erhöhen. Auf jeden Fall sollen auch alle Sicherheitsupdates die zur Verfügung stehen installiert werden! Auch die Weboberfläche zur Verwaltung der Geräte soll nicht über das Internet erreichbar sein, sondern ausschließlich im lokalen LAN zur Verfügung stehen. Ist eine Verwaltung per Internet zwingend nötig, soll dies nur über eine sichere VPN Verbindung gemacht werden. MikroTik sagt, man hätte versucht, die eigenen Kunden zu erreichen und über den Missstand zu informieren. Leider ohne großen Erfolg, da viele Kunde keinen direkten Kontakt zu MikroTik haben oder sich nicht aktiv um die Geräte kümmern.