Waarom worden deze routers zo vaak gehacked? Er is meerdere malen posts over deze routers geplaats

Uiteraard merk je dit vrij snel op omdat de computer warm wordt, de fan draait sneller, de batterij is eerder leeg als je
daar mee werkt, en een CPU belasting indicator geeft dit ook aan. Hoe merkbaar het is hangt af van het type computer
maar meestal gaat het niet onopgemerkt voorbij.

Het zijn niet iedere keer nieuwe gehackte routers.
Degenen die gehacked zijn en waar de eigenaar niks aan doet die blijven steeds terugkomen in allerlei scenario's en
daar wordt dan steeds weer over geschreven. Het aantal zal in de loop der tijd langzaam afnemen maar er is altijd
een flink aantal gebruikers wat niks doet of niks in de gaten heeft.
Vergelijk het met de vele vele Windows PC's waar "ze binnen zijn" en het gaat om een relatief klein aantal. Maar de
"security onderzoekers" zijn daar nu wel zo'n beetje op uitgekeken, die gaan niet meer over ieder PC botnetje schrijven.

Is dit niet ook deels de verantwoordelijk van de ISP om dit te doen?
En in het geval van een persoonlijke router de router developer?

Merk op dat de problemen alleen optreden nadat men zelf aan de configuratie heeft zitten klungelen. De door de
fabrikant default geleverde configuratie is niet kwetsbaar, dan staan de configuratieservices namelijk niet bereikbaar
vanaf internet maar alleen vanaf je eigen lokale netwerk.

Echter, er zijn slechte adviezen te vinden over hoe je bepaalde dingen voor elkaar moet krijgen, in de vorm van Youtube
filmpjes die gemaakt zijn door prutsers. Die beginnen dan bijvoorbeeld met "wis eerst maar eens de hele config dan
hebben we een mooi beginpunt" maar dan is ook de firewall weg en die zetten ze nooit meer terug. DAT zijn dan
vervolgens de routers die kwetsbaar zijn bij bugs in de configuratie services (webfig, winbox, telnet, ssh).
De fabrikant heeft updates gemaakt om de bugs op te lossen (1.5 jaar geleden) en de nodige tips geplaatst over
hoe je de boel veilig kunt houden (password, firewall etc), maar die kopers die zo'n ding 2 jaar geleden gekocht hebben
en fout geconfigureerd die kun je natuurlijk nooit meer contacten. Het is gewoon een consumentenproduct wat je
overal kunt bestellen.

Had dat ding nou een backdoor gehad of een phone-home constructie waarmee de fabrikant bijvoorbeeld alle
kwetsbare of al gehackte routers een upgrade zou kunnen sturen dan kon je nog zeggen "de developer moet iets
doen" maar nu is dat dus niet mogelijk. Het is gewoon wachten tot de gebruikers wakker worden of de routers
defect raken. En dat kan (beiden) vele jaren duren, kijk maar naar bepaalde Windows wormen die 10 jaar later
nog actief zijn. Of het C&C systeem zou moeten worden ingezet om in ieder geval de nu actieve botnet members
te upgraden, echter daar wordt door bepaalde mensen altijd heel negatief op gereageerd.

Ga je er vanuit dat er een FAN in zit. En dat men dit merkt.... Vaak genoeg heeft men dit niet door. Of uitzetten en weer aanzetten (geen idee of dat het oplost), maar de router is nog steeds vatbaar voor de exploit.

Alweer? Gaat lekker met die microtik routers..

Moeilijk hè, een Mikrotik configureren.

Dit kan je met elk stuk hardware/software overkomen die niet goed is ingesteld en daardoor services aan het internet blootstelt die voor lokaal gebruik bedoelt zijn. En inderdaad, Mikrotik is niet geschikt voor mensen die 'snel' een router/firewall willen installeren. Dat kost tijd en vergt kennis van security en Mikrotik.
Die mensen moeten een Netgear/Linksys etc. kopen (wat ook geen garanties biedt overigens).

https://nvd.nist.gov/vuln/detail/CVE-2018-14847

CVE-2018-14847 Detail
Winbox for MikroTik RouterOS through 6.42 allows remote attackers to bypass authentication and read arbitrary files by modifying a request to change one byte related to a Session ID.

en

Eigenaren van een MikroTik-router krijgen het advies om inkomend verkeer voor de Webfig- en Winbox-poorten voor het internet te blokkeren.
https://www.security.nl/posting/575748/Gehackte+MikroTik-routers+sturen+verkeer+door+naar+aanvallers

Als je jouw management tools voor de router direct openzet voor gebruik op internet, dan begrijp je het gewoon niet.
Er is niet voor niets een optie om de IP-range(s) te beperken tot het lokale LAN. En vervolgens kun je in de firewall ervoor zorgen dat winbox verkeer niet over de WAN poort naar buiten gaat.