Sembra che sia stata messa in piedi una botnet che in manirea "randomica" sta scansionando indirizzi ip pubblici alla ricerca della porta winbox 8291 per tentare di infettare le RB con l'exploit che riporto di seguito:
'Chimay Red' Stack Clash Remote Code Execution
Questo exploit è in grado, una volta infettata la macchina, di installare un codice e far eseguire operazioni all'apparato stesso (di solito si tratta di far eseguire alla vittima un attacco di tipo brute force sul servizio telnet).
Per impedire il propagarsi di questa "piaga", consiglio di eseguire l'aggiornamento di tutte le RB che sono direttamente esposte ad internet installando una versione più recente (superiore alla 6.38.4)! Al termine dell'installazione del firmware, routerOS eseguirà un controllo di integrità del sistema volto a "fixare" il dispositivo hackerato.
Se avete migliaia di cpe da aggiornare consiglio a tutti di scaricare ed utilizzare il nostro tool ICS inserendo le subnet degli apparati coinvolti e poi far eseguire il/i seguente/i comando/i:
- Codice: Seleziona tutto
/system package update install
Opzionale, da accesso soltanto alle subnet specificate (da aggiungere nella riga sottostante):
- Codice: Seleziona tutto
/ip service set www address=xxx.xxx.xxx.xxx/xx, xxx.xxx.xxx.xxx/xx
Opzionale, disabilita servizio www (da aggiungere nella riga sottostante):
- Codice: Seleziona tutto
/ip service disable www
Nel caso in cui la vostra RB avesse il servizio www disabilitato o filtrato da firewall allora non c'è modo di preoccuparsi, le vostre macchine sono al sicuro!!!
