CIA军火库被用来挖矿了！MikroTik路由器用户需提高警惕

家电维修

上个月，360安全卫士发布文章《网页篡改 满屏广告 你的路由器被绑架了》。文章中揭露了国内几款路由器存在劫持被插入广告的问题，近期国外的MikroTik路由器也爆发被大量入侵插入挖矿脚本。国内使用此路由器的用户请尽快手动将自己的路由器设备更新至最新固件版本，以防中招。
经分析此次攻击主要是利用了MikroTik路由器的(CVE-2018-14847)这一漏洞，其允许远程攻击者绕过身份验证环节并读取用户的任意文件，完整的PoC在今年5月份已经被公布(根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到的漏洞利用)，尽管官方已经在4月份更新了固件修复了该漏洞，但是仍然有很多用户的路由器没有及时进行更新导致被攻击利用插入挖矿脚本。CVE-2018-14847漏洞影响从6.29（发布日期：2015/05/28）到6.42（发布日期2018/04/20）的所有版本的RouterOS
攻击插入挖矿脚本过程：(以插入play.feesocrald.com/app.js为例)
黑客先使用漏洞利用工具拿到MikroTik 路由器的winbox管理员密码：
使用密码成功登录MikroTik路由器后启用MikroTik RouterOS 的http代理功能，然后将Http 403错误页面重定向到一个本地的HTTP webproxy/error.html 403错误页面。在这个页面中，攻击者嵌入了一个hxxps://play.feesocrald.com/app.js的挖矿代码js。通过这种方式，攻击者利用所有经过攻陷路由器上访问HTTP 403错误页面的流量来插入挖矿牟利, 不排除后续会将所有正常页面都插入挖矿脚本的可能，目前数据显示已经有超过3900台MikroTik路由器被入侵插入了该挖矿脚本；超过170000台MikroTik路由器被入侵插入Conhive挖矿脚本；并且这一数据还在持续增加。
下面是测试使用被入侵的路由器启用的代理服务器做为代理来访问一个正常网站时被插入挖矿脚本的示例：
使用浏览器加上代理访问时CPU被大量占用(超过70%)：
抓包显示该挖矿脚本建立的Websocket连接到: hxxps://s2.soodatmish.com
测试另收到其他维修同行的一台被入侵的MikroTik做为代理访问插入Coinhive挖矿脚本情况
受影响情况：
插入挖矿脚本的Site Key Top20列表：
360网络安全研究院数据显示，被插入的JS文件的请求趋势,9.7号达到高峰.
360互联网安全中心提醒用户:
1、 路由器用户请尽快手动将自己的路由器设备更新至最新固件版本
2、 MikroTik路由器的后台修改掉默认的winbox 8291连接端口或者直接禁用winbox(附修改方法截图)
3、 设置某些过滤规则（ACL）拒绝匿名访问路由器
4、 不要使用路由器默认的账户名和密码，对后台的默认登陆账号和密码修改为相对复杂的密码。