CIA軍火庫被用來挖礦了！MikroTik路由器用戶需提高警惕

上個月，360安全衛士發布文章《網頁篡改 滿屏廣告 你的路由器被綁架了》。文章中揭露了國內幾款路由器存在劫持被插入廣告的問題，近期國外的MikroTik路由器也爆發被大量入侵插入挖礦腳本。國內使用此路由器的用戶請儘快手動將自己的路由器設備更新至最新固件版本，以防中招。

經分析此次攻擊主要是利用了MikroTik路由器的(CVE-2018-14847)這一漏洞，其允許遠程攻擊者繞過身份驗證環節並讀取用戶的任意文件，完整的PoC在今年5月份已經被公布(根據維基解密披露的CIA Vault7黑客工具Chimay Red涉及到的漏洞利用)，儘管官方已經在4月份更新了固件修復了該漏洞，但是仍然有很多用戶的路由器沒有及時進行更新導致被攻擊利用插入挖礦腳本。CVE-2018-14847漏洞影響從6.29（發布日期：2015/05/28）到6.42（發布日期2018/04/20）的所有版本的RouterOS

攻擊插入挖礦腳本過程：(以插入play.feesocrald.com/app.js為例)

黑客先使用漏洞利用工具拿到MikroTik 路由器的winbox管理員密碼：

使用密碼成功登錄MikroTik路由器後啟用MikroTik RouterOS 的http代理功能，然後將Http 403錯誤頁面重定向到一個本地的HTTP webproxy/error.html 403錯誤頁面。在這個頁面中，攻擊者嵌入了一個hxxps://play.feesocrald.com/app.js的挖礦代碼js。通過這種方式，攻擊者利用所有經過攻陷路由器上訪問HTTP 403錯誤頁面的流量來插入挖礦牟利, 不排除後續會將所有正常頁面都插入挖礦腳本的可能，目前數據顯示已經有超過3900台MikroTik路由器被入侵插入了該挖礦腳本；超過170000台MikroTik路由器被入侵插入Conhive挖礦腳本；並且這一數據還在持續增加。

下面是測試使用被入侵的路由器啟用的代理伺服器做為代理來訪問一個正常網站時被插入挖礦腳本的示例：

使用瀏覽器加上代理訪問時CPU被大量佔用(超過70%)：

抓包顯示該挖礦腳本建立的Websocket連接到: hxxps://s2.soodatmish.com

測試另一台被入侵的MikroTik做為代理訪問插入Coinhive挖礦腳本情況

受影響情況：

插入挖礦腳本的Site Key Top20列表：

360網路安全研究院數據顯示，被插入的JS文件的請求趨勢,9.7號達到高峰.

360互聯網安全中心提醒用戶:

1、 路由器用戶請儘快手動將自己的路由器設備更新至最新固件版本

2、 MikroTik路由器的後台修改掉默認的winbox 8291連接埠或者直接禁用winbox(附修改方法截圖)

3、 設置某些過濾規則（ACL）拒絕匿名訪問路由器

4、 不要使用路由器默認的賬戶名和密碼，對後台的默認登陸賬號和密碼修改為相對複雜的密碼。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！