Wir weisen darauf hin, dass ein gefährliches Botnet zurzeit wahllos öffentliche IP-Adressen scannt, um offene Winbox (8291) und WWW (80) Ports zu finden, um eine Schwachstelle im RouterOS-WWW-Server auszunutzen, die vor über einem Jahr gepatcht wurde (in RouterOS v6.38.5, März 2017).

Da alle RouterOS-Geräte kostenlose Upgrades mit nur zwei Klicks bieten, bitten wir Sie dringend Ihre Geräte mit dem „Check for updates“-Button zu aktualisieren, falls Sie dies nicht bereits innerhalb des letzten Jahres getan haben.

Ihre Geräte sind nicht gefährdet, wenn der Port 80 durch eine Firewall geschützt ist oder Sie bereits auf v6.38.5 oder neuer aktualisiert haben. Falls Sie unsere Home-Access-Points mit der Standardkonfiguration nutzen, sind diese ab Werk durch eine Firewall geschützt und Sie sollten ebenfalls nicht gefährdet sein. Aktualisieren Sie bitte dennoch Ihre Geräte.

[info_kasten]
Die betreffende Schwachstelle wurde im März 2017 gefixt:

Aktuelles Changelog:

Was ist neu in 6.38.5 (9. März 2017, 11:32):

• !) WWW – Schwachstelle auf HTTP-Server gefixt;

And also Bugfix release chain:

Was ist neu in 6.37.5 (9. März 2017, 11:54):

• !) WWW – Schwachstelle auf HTTP-Server gefixt;

[/info_kasten]

Im Moment breitet sich das Botnet nur aus und scannt – andere Aktivitäten werden nicht ausgeführt. Dennoch empfehlen wir, dass Sie zur Sicherheit Ihr Passwort ändern und Ihre Firewall aktualisieren. Empfehlungen für die Absicherung Ihres Routers: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

FAQ:

Was ist betroffen?

• WebFig mit Standard Port 80 und ohne Firewall-Regeln
• Winbox hat nichts mit der Schwachstelle zu tun, Winbox wird nur von den Scannern verwendet, um Geräte der Marke MikroTik zu identifizieren. Dann gehen sie dazu über, WebFig durch den Port 80 auszunutzen.

Bin ich geschützt?

• Wenn Sie Ihren Router in den letzten 12 Monaten aktualisiert haben, sind Sie geschützt.
• Wenn „ip service“ „www“ bei Ihnen deaktiviert war, sind Sie geschützt.
• Wenn Ihre Firewall für Port 80 konfiguriert war, sind Sie geschützt.
• Wenn Sie nur einen HotSpot in Ihrem LAN hatten, aber WebFig nicht verfügbar war, sind Sie geschützt.
• Wenn Sie nur User Manager in Ihrem LAN hatten, aber WebFig nicht verfügbar war, sind Sie geschützt.
• Wenn Sie zuvor einen anderen Winbox-Port hatten, sind Sie vor dem Scan geschützt, aber nicht vor einer Infektion.
• Wenn „winbox“ bei Ihnen deaktiviert war, sind Sie vor dem Scan geschützt, aber nicht vor einer Infektion.
• Wenn Sie „ip service“ „allowed-from“ auf ein bestimmtes Netzwerk eingestellt hatten, sind Sie geschützt, wenn das Netzwerk nicht infiziert wurde.
• Wenn „WebFig“ bei Ihnen für das LAN-Netzwerk sichtbar war, könnten Sie von einem infizierten Gerät in Ihrem LAN infiziert worden sein.

Wie kann ich die Gefährdung feststellen und beheben?

• Eine Aktualisierung auf v6.38.5 oder neuer entfernt die schädlichen Dateien, stoppt die Infektion und verhindert in Zukunft ähnliche Vorfälle.
• Falls Sie auch nach der Aktualisierung Ihres Geräts Zugriffsversuche auf Telnet von Ihrem Netzwerk bemerken, führen Sie Tool/Torch aus, um die Quelle des Traffics zu finden. Es wird nicht der Router selbst sein, sondern ein anderes Gerät im lokalen Netzwerk, das ebenfalls betroffen ist und eine Aktualisierung benötigt.

Weitere Informationen finden Sie hier: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499.

Für Rückfragen oder Hilfestellung bei der Implementierung der wichtigen Updates können Sie uns gern kontaktieren.