Sekitar 300.000 router MikroTik rentan terhadap kerentanan kritis yang dapat dieksploitasi botnet malware untuk cryptomining dan serangan DDoS.
MikroTik adalah produsen router dan ISP nirkabel Latvia yang telah menjual lebih dari 2.000.000 perangkat secara global.
Pada bulan Agustus, botnet Mēris mengeksploitasi kerentanan di router MikroTik untuk membuat pasukan perangkat yang melakukan serangan DDoS yang memecahkan rekor di Yandex. MikroTik menjelaskan bahwa aktor ancaman di balik serangan itu mengeksploitasi kerentanan yang diperbaiki pada 2018 dan 2019, tetapi pengguna belum menerapkannya.
Para peneliti telah menemukan bahwa terlalu banyak yang masih rentan terhadap tiga kelemahan eksekusi kode jarak jauh yang kritis yang dapat menyebabkan pengambilalihan perangkat secara lengkap terlepas dari semua peringatan dan serangan ini.
Peneliti dari Eclypsium memindai Internet untuk perangkat MikroTik yang masih rentan terhadap empat CVE berikut:
- CVE-2019-3977: Remote OS downgrade and system reset. CVSS v3 – 7.5
- CVE-2019-3978: Remote unauthenticated cache poisoning. CVSS v3 – 7.5
- CVE-2018-14847: Remote unauthenticated arbitrary file access and write. CVSS v3 – 9.1
- CVE-2018-7445: Buffer overflow enabling remote access and code execution. CVSS v3 – 9.8
Perangkat harus menjalankan RouterOS versi 6.45.6 atau lebih lama agar memenuhi syarat untuk dapat dieksploitasi dan protokol WinBox mereka terekspos ke Internet.
Setelah memindai Internet, Eclypsium menemukan sekitar 300.000 alamat IP untuk router MikroTik yang memenuhi kriteria di atas dan rentan terhadap setidaknya salah satu kerentanan yang disebutkan di atas.
Sebagian besar perangkat yang ditemukan berada di China, Brasil, Rusia, dan Italia, sementara Amerika Serikat juga memiliki sejumlah besar perangkat yang dapat dieksploitasi.
Menariknya, para peneliti menemukan bahwa penambang koin telah menginfeksi sekitar 20.000 perangkat ini, dengan sekitar setengah dari mereka mencoba untuk terhubung ke CoinHive yang sekarang offline.
Selengkapnya: Bleeping Computer