Ir para conteúdo
meebo
Entre para seguir isso  
Guest Lazaro

Preciso de informações RouterOS fazendo conexões outbox de saída

Recommended Posts

Guest Lazaro

Não sei se é o lugar certo mas vamos lá, apenas esta noite descobrimos uma infinidade de dispositivos RouterOS em nossa rede - principalmente dispositivos de clientes, até agora só observados na arquitetura MIPS - que parecem estar infectados com alguma coisa. Os próprios roteadores estão gerando centenas de conexões de saída a cada segundo para endereços IP aleatórios, visando telnet (porta TCP 23), TR-069 (porta TCP 7547) e WINBOX !!!! (TCP 8291). Confirmei que esse tráfego não é originário de um dispositivo nas LANs dos clientes e, em seguida, está sendo NATted ... ele vem do próprio roteador e é bloqueado com êxito usando regras de firewall na cadeia de "saída".

A reinicialização do dispositivo não o interrompe, portanto, o que quer que seja, conseguiu gravar a si mesmo em flash, além de se inserir no processo de inicialização / inicialização do sistema operacional. Portanto, ele conhece as partes internas do RouterOS, não é dividido pela arquitetura da CPU, parece saber de alguma vulnerabilidade do RouterOS que está explorando de alguma forma e tem como alvo o Winbox. 

Os dois dispositivos que eu examinei remotamente em detalhes estão ambos rodando 6.34.2. (Eu sei que isso não é atual, mas é um dispositivo do cliente e nós não forçamos os clientes a atualizar o software em seus roteadores. Isso pode ter que mudar.)

Espero coletar uma amostra de hardware em breve, o que me permitirá investigar o "worm" mais profundamente e descobrir onde ele conseguiu se conectar ao sistema operacional. Mas talvez o que quer que este "worm" já seja conhecido (e qualquer vulnerabilidade de segurança que ainda exista no 6.34.2 tenha sido corrigido), e eu não estou atualizado sobre as notícias. Se alguém tiver alguma informação sobre isso, eu realmente aprecio qualquer pista. 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Seu conteúdo precisará ser aprovado por um moderador

Visitante
Você está comentando como visitante. Se você tem uma conta, por favor, entre.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Entre para seguir isso  

×