数千台MikroTik路由器被当作网络窃听工具

上个月曾出现过20万台MikroTik路由器固件由于存在Vault 7漏洞，遭到了数字货币挖矿恶意软件攻击。现在中国的网络安全团队奇虎360网络实验室的研究人员又发现了37万台MikroTik路由器中存在网络安全漏洞，其中7500台路由器已经被恶意开启了Socks4代理功能，这样黑客从7月中旬开始就对通过MikroTik路由器的数据通信进行窃听

该漏洞位于MikroTik路由器中的Winbox Any Directory File Read（CVE-2018-14847），由Vault 7黑客工具Chimay Red发现，除此之外还有其他Webfig远程配置漏洞。Winbox和Webfig都是MikroTik路由器系统RouterOS管理功能中的组件，通过TCP/8291, TCP/80和TCP/8080埠进行网络通信。Winbox方便了Windows用户可以对路由器进行轻松管理并从路由器上下载DLL文件到Windows系统中，方便管理员远程管理。

根据研究人员的报告，120万台MikroTik路由器中，目前还有37万台还存在着这个漏洞，已经发现有恶意软件针对该漏洞发起了恶意攻击，包括CoinHive挖矿代码注入、静默开启Socks4代理功能、对网络通信数据进行监控。

CoinHive挖矿代码注入只需要在MikroTik路由器上开启HTTP代理功能，黑客就可以将所有的HTTP代理请求重定向至一个本地的HTTP 403错误页面并在该网页上注入Coinhive网站的挖矿网页代码链接。至此黑客就利用用户设备的所有HTTP代理流量来进行数字挖矿。讽刺的是，这种攻击方法并不会像黑客们所期望的那样，而是由于受到黑客自己在路由器上设置的访问控制列表（ACL），最终导致所有外部的外部网络资源都被禁止访问。

开启Sock4恶意代理功能。黑客一旦在MikroTik路由器上静默开启TCP/4153埠上的Socks4代理功能，就可以获取设备的最高许可权。即使设备重启或间断性更换IP地址后也会将最新的IP地址信息与黑客的恶意网址绑定。据研究人员的说明，目前有23万9千台MikroTik路由器已经被确认开启了Socks4恶意代理功能，黑客也将继续扫描网络中更多还存在该漏洞的MikroTik路由器。

监听用户。MikroTik路由器的RouterOS系统允许用户在路由器上抓包并转发到特定的流服务器，黑客可以将这些抓包数据转发到特定的IP地址。目前有7500台MikroTik路由器已经被黑客攻击并向一些特殊的IP地址转发TZSP数据包信息。

同时研究人员也注意到SNMP埠161和162也受到了攻击，这需要引起大家的额外注意，为什么黑客会对网络管理员才会使用的埠和网络协议感兴趣？难道他们是想要监视并获取一些特殊用户的SNMP信息？

目前发现的受到影响的MikroTik路由器分布在各个国家，其中包括俄罗斯、伊朗、巴西、乌克兰、孟加拉国、印度尼西亚、厄瓜多尔、美国、阿根廷、哥伦比亚、波兰、肯亚、伊拉克和其他一些欧洲和亚洲国家，其中俄罗斯受到的影响最大。

奇虎360网络实验室出于安全原因，没有公布这些IP地址。一般用户最好的预防方法是及时安装补丁，MikroTik路由器的用户需要及时更新自己设备的固件更新程序。