ラトビアのネットワーク機器メーカーであるMikroTikは、2021年夏に発生した大規模なDDoSボットネット「Mēris(メリス)」によって侵害されたルーターを安全に保護し、クリーニングする方法について詳細を発表しました。
我々が見た限りでは、これらの攻撃は、MikroTik RouterOSに脆弱性があり、すぐにパッチが当てられた2018年に侵害されたのと同じルーターを使用しています。
https://blog.mikrotik.com/security/winbox-vulnerability.html
残念ながら、2018年に誰かがあなたのパスワードを手に入れている場合は、ただのアップグレードでは解決しないのです。
パスワードを変更し、ファイアウォールが未知の相手からのリモートアクセスを許可していない場合、自分が作成していないスクリプトを探す必要もあります。
Mērisボットネットは、今年2つの記録的なボリュメトリック(アプリケーション層)DDoS攻撃の背後にいます。
8月にCloudflareによって軽減された1回目の攻撃は1,720万リクエスト・パー・セカンド(RPS)に達しました。2回目は今月初めにロシアのインターネット企業Yandex社のサーバーを攻撃した際に、2,180万RPSという前代未聞の数値を記録しました。
Qrator Labs社の研究者がYandex社の攻撃について詳細を報告したところによると、マルウェア「Mirai」のコードから派生したボットネット「Mēris」は、MikroTik社のネットワークゲートウェイやルーターを中心に約25万台の機器を制御しているとのことです。
また、Mērisによって侵害されたホストは、「WiFiに接続された典型的なIoTブリンカーではなく」、イーサネット接続でインターネットに接続された高機能デバイスであることも付け加えられています。
MērisのYandexのネットワークを標的とした攻撃の履歴は、8月初旬の520万RPSのDDpS攻撃に始まり、規模が拡大し続けています。
- 2021-08-07 – 520万RPS
- 2021-08-09 – 650万RPS
- 2021-08-29 – 9.6百万RPS
- 2021-08-31 – 10.9百万RPS
- 2021-09-05 – 21.8百万RPS
MikroTik社製ルーターのセキュリティとクリーニングの方法
MikroTik社はブログ記事の中で、このボットネットによって侵害されたゲートウェイをクリーニングして安全にする方法についても情報を提供しています。
ネットワーク機器ベンダーであるMikroTikは、ブルートフォース攻撃から機器を守るために強力なパスワードを選択し、Mērisボットネットで使用されている可能性の高いCVE-2018-14847 Winboxエクスプロイトをブロックするために最新の状態にしておくことをお客様に呼びかけています。
同社は、以下の手順を含む最善の行動を概説しています。
- MikroTikデバイスを定期的なアップグレードで最新の状態に保つ
- リモートアクセスが必要な場合は、IPsecのような安全なVPNサービスのみを利用すること
- 強力なパスワードを使用し、たとえそうであっても、すぐに変更してください
- 自分のローカルネットワークが信頼できると思わないこと。パスワードが弱かったり、パスワードがなかったりすると、マルウェアがルーターへの接続を試みることがあります。
- 未知の設定がないか、RouterOSの設定を検査する
侵害されたMicroTikルーターを再設定する際に、Mērisマルウェアが設定できる設定は以下の通りです。
- 「システム」→「Fetchスクリプトを実行するスケジューラールール」を開き、これらを削除します。
- IP -> Socksプロキシを開き、この機能を使用していない場合や、何をするのかわからない場合は、無効にする必要があります。
- 「lvpn」という名前のL2TPクライアントや、認識していないL2TPクライアントがないか確認
- ポート5678へのアクセスを許可するファイアウォールルールを入力してください
「”RouterOS “のすべてのユーザーにこの件について連絡を試みましたが、多くのユーザーはMikroTikと連絡を取ったことがなく、自分のデバイスを積極的に監視していません。私たちは他の解決策にも取り組んでいます」とMikroTik社は付け加えています。
Comments