Protezione del router per gli utenti di MikroTik

Per proteggere i router MikroTik dalla botnet Mēris, o per ripristinare un router precedentemente infettato, gli utenti dovrebbero aggiornare RouterOS e controllare le impostazioni.

I recenti attacchi DDoS su larga scala che si servono di una nuova botnet chiamata Mēris, hanno raggiunto un picco di quasi 22 milioni di richieste al secondo. Secondo la ricerca di Qrator, i dispositivi di rete di MikroTik hanno generato una buona parte del traffico della botnet.

Dopo aver analizzato la situazione, gli esperti di MikroTik non hanno trovato nuove vulnerabilità nei router dell’azienda; tuttavia, sono le vecchie a poter rappresentare una minaccia. Pertanto, per garantire che il vostro router non sia coinvolto nella botnet Mēris (o in qualsiasi altra botnet, se è per questo), è necessario seguire alcune raccomandazioni.

Perché i dispositivi MikroTik si uniscono alle botnet

Qualche anno fa, una ricerca sulla sicurezza ha scoperto una vulnerabilità nei router MikroTik: si tratta di Winbox, un tool di configurazione per i router MikroTik attraverso il quale sono stati compromessi molti dispositivi. Anche se MikroTik ha risolto la vulnerabilità nel 2018, apparentemente non tutti gli utenti hanno aggiornato il proprio router.

Inoltre, anche tra coloro che lo hanno fatto, non tutti hanno seguito le raccomandazioni aggiuntive della casa produttrice riguardo al cambio della password. Se un utente non modifica la password, anche un firmware aggiornato potrebbe permettere ai criminali informatici di accedere al router e servirsene nuovamente per i propri scopi.

Secondo MikroTik, i router che sono stati infettati da Mēris adesso sono gli stessi dispositivi che sono stati compromessi nel 2018. L’azienda ha pubblicato gli indicatori di compromissione dei dispositivi e ha dato alcune indicazioni per gestire la situazione.

Come capire se il vostro router MikroTik fa parte di una botnet

Quando un router si unisce a una botnet, i criminali informatici cambiano una serie di impostazioni nel firmware del dispositivo. Pertanto, innanzitutto MikroTik suggerisce di dare un’occhiata alla configurazione del dispositivo e di controllare quanto segue:

  • Se c’è una funzionalità che esegue lo script con il metodo fetch (). Rimuovete questa funzione (Sistema → Scheduler), se presente;
  • Se c’è un server proxy SOCKS abilitato. Troverete l’impostazione in IP → SOCKS; se non ne fate uso, disabilitatelo;
  • Se c’è un client L2TP chiamato lvpn, (o qualsiasi altro client L2TP che non vi è familiare). Cancellate anche questi client;
  • Rimuovete la funzione del firewall che permette l’accesso remoto attraverso la porta 5678.

Consigli per proteggere il vostro router MikroTik

Gli aggiornamenti regolari sono una parte cruciale di una qualsiasi strategia di difesa che abbia successo. Per mantenere rete MikroTik sicura, gran parte del compito consiste nel seguire le best practice generali di sicurezza della rete.

  • Assicuratevi che il vostro router usi l’ultimo firmware disponibile e aggiornatelo regolarmente;
  • Disabilitate l’accesso remoto al dispositivo a meno che non ne abbiate assolutamente bisogno;
  • Configurate l’accesso remoto, se proprio necessario, attraverso un canale VPN. Per esempio, usate il protocollo IPsec;
  • Usate una password di gestione lunga e robusta. Anche se la vostra password attuale è forte, cambiatela ora, per sicurezza.

In generale, pensate a questa ipotesi: se la vostra rete locale non è sicura, e se un computer viene infettato, un malware potrebbe attaccare il router dall’interno del vostro perimetro e ottenere l’accesso forzando le password. Questo è il motivo per cui, da parte nostra, consigliamo vivamente di utilizzare soluzioni di sicurezza affidabili.

Consigli