Masih inget berita tentang laporan celah keamanan yang bertubi-tubi datang pada MikroTik beberapa bulan silam? Bisa dilihat di Pembunuhan Berantai, MikroTik Tetap Kokoh. Nah, kali ini ada isu datang lagi kepada vendor ini. Dan penyebabnya tak lain juga karena vulnerability sebelumnya.
Pada April lalu, seseorang telah menemukan cara bagaimana mengeksploitasi RouterOS melalui protokol Winbox. Dengan menggunakan exploit yang dibuat, seseorang dapat melihat username dan password dengan sangat mudah sekali. Exploit pun menyebar luas dan bahkan tak sedikit orang yang memanfaatkannya untuk keperluan pribadi.
Beberapa orang telah menemukan sebuah ide, bagaimana cara mengambil keuntungan dengan memanfaatkan vulnerability ini. Ya crypto mining! Alur kerjanya adalah ketika hacker sudah mendapatkan akses ke RouterOS, hacker akan membuat sebuah blank page yang sudah disisipi script untuk crypto mining dan disimpan di dalam direktori RouterOS. Dengan memanfaatkan MikroTik HttpProxy setiap pengguna dari RouterOS yang melakukan permintaan ke sebuah web akan dialihkan ke blank page tersebut dan crypto mining akan berjalan.
Trustwave menyadari hal ini dan melakukan beberapa riset yang kemudian menyimpulkan bahwa serangan ini difokuskan pada negara Brazil. Sebanyak kurang lebih 74.000 perangkat RouterOS sudah disisipi CoinHive. Yang kedua adalah Moldova sebanyak 251. Anda dapat mencari hasil tersebut dengan query ini. Link tersebut berisi query pencarian pada shodanhq.com dengan hasil yaitu RouterOS yang telah terinfeksi oleh CoinHive dengan sitekey yang sama (hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3). Bisa juga anda menggunakan query ini dengan hasil yaitu semua web yang mempunyai component CoinHive.
Nah kalo kayak gini, nggak lama lagi pasti ada yang inject crypto mining pada setiap web yang kita kunjungi. Yah model-model ISP sebelah yang inject iklan (ads) di setiap web yang kita kunjungi. Yah aneh aja sih kalo lembaga punya pemerintah sampe cari duit dengan cara kayak gitu.
Trustwave menyadari hal ini dan melakukan beberapa riset yang kemudian menyimpulkan bahwa serangan ini difokuskan pada negara Brazil. Sebanyak kurang lebih 74.000 perangkat RouterOS sudah disisipi CoinHive. Yang kedua adalah Moldova sebanyak 251. Anda dapat mencari hasil tersebut dengan query ini. Link tersebut berisi query pencarian pada shodanhq.com dengan hasil yaitu RouterOS yang telah terinfeksi oleh CoinHive dengan sitekey yang sama (hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3). Bisa juga anda menggunakan query ini dengan hasil yaitu semua web yang mempunyai component CoinHive.
Nah kalo kayak gini, nggak lama lagi pasti ada yang inject crypto mining pada setiap web yang kita kunjungi. Yah model-model ISP sebelah yang inject iklan (ads) di setiap web yang kita kunjungi. Yah aneh aja sih kalo lembaga punya pemerintah sampe cari duit dengan cara kayak gitu.
Sebagai seorang sysadmin seharusnya hal ini menjadi sebuah awarness pentingnya keamanan jaringan yang dikelola.
Reference:
- Kenin, S. (2018). Mass MikroTik Router Infection – First we cryptojack Brazil, then we take the World?. Retrieved from https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/
- Kumar, M. (2018). Hackers Infect Over 200,000 MikroTik Routers With Crypto Mining Malware. Retrieved from https://thehackernews.com/2018/08/mikrotik-router-hacking.html
- Kenin, S. (2018). Mass MikroTik Router Infection – First we cryptojack Brazil, then we take the World?. Retrieved from https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/
- Kumar, M. (2018). Hackers Infect Over 200,000 MikroTik Routers With Crypto Mining Malware. Retrieved from https://thehackernews.com/2018/08/mikrotik-router-hacking.html
Komentar
Posting Komentar
Terima kasih telah berkunjung.