360Netlab ได้ประกาศว่ามีเครื่อง MikroTik router มากกว่า 7,500 ทั่วโลกกำลังส่งข้อมูล TZSP (TaZmen Sniffer Protocol) ไปยังที่อยู่ IP ภายนอกจำนวน 9 แห่งจากการที่ผู้บุกรุกได้ปรับเปลี่ยนการตั้งค่า packet sniffing ของอุปกรณ์เพื่อส่งต่อข้อมูลไปหา IP ของผู้บุกรุก โดยปลายทางที่มีการส่งข้อมูลหนาแน่นมากที่สุดคือ IP 37.1.207.114 และมีเหยื่อจากทั้งรัสเซีย บราซิล อินเดีย ยูเครน
MikroTik router ส่วนใหญ่ที่ถูกบุกรุกจะมีการเปิดใช้งาน Socks4 proxy ซึ่งมีช่องโหว่อนุญาตให้เข้าถึงได้จาก IP 95.154.216.128/25 โดยส่วนใหญ่จะพบที่ IP 95.154.216.167 ผู้โจมตีสามารถควบคุมอุปกรณ์ได้แม้จะได้รับการรีบูต(เปลี่ยน IP) โดยการรายงานที่อยู่ IP ใหม่ล่าสุดเป็น URL กลับไปยังช่วง IP ดังกล่าว
จากการสังเกตของนักวิจัยพบว่าผู้บุกรุกจะอาศัยช่องโหว่ CVE-2018-14847 ซึ่งจะพบใน Winbox for MikroTik RouterOS 6.42 หรือรุ่นที่ต่ำกว่า นักวิจัยแนะนำให้ผู้ใช้ MikroTik router อัปเดต Firmware เป็นเวอร์ชันล่าสุด
ที่มา : Bleepingcomputer
You must be logged in to post a comment.