Zo'n 300.000 vanaf het internet toegankelijke MikroTik-routers zijn kwetsbaar voor aanvallen omdat de eigenaren hebben nagelaten firmware-updates voor vier jarenoude beveiligingslekken te installeren. Dat stelt securitybedrijf Eclypsium op basis van eigen onderzoek. De kwetsbaarheden dateren van 2018 en 2019 en zorgen ervoor dat aanvallers in het ergste geval volledige controle over de router kunnen krijgen.

De afgelopen jaren hebben aanvallers ook misbruik van de beveiligingslekken gemaakt, waarbij kwetsbare MikroTik-routers werden ingezet voor ddos-aanvallen op het delven van cryptovaluta. In september van dit jaar waarschuwde MikroTik nog voor het Meris-botnet, dat uit zo'n 200.000 besmette routers zou bestaan, en was ingezet voor ddos-aanvallen tegen internetbedrijf Yandex. Ook Cloudflare kwam met een waarschuwing voor het botnet. De gebruikte routers waren al sinds 2018 door aanvallers gecompromitteerd.

"Het dichten van de kwetsbaarheid beschermt deze routers niet direct. Als iemand je wachtwoord in 2018 heeft bemachtigd zal een upgrade niet helpen. Je moet ook je wachtwoord wijzigen en je firewall controleren dat die geen remote toegang aan onbekende partijen geeft, en kijk naar de aanwezigheid van scripts die je niet hebt gemaakt", aldus MikroTik in de waarschuwing. De onderzoekers ontdekten ook 20.000 besmette routers die scripts op de websites injecteerden die gebruikers bezochten, om zo hun computer voor het delven van cryptovaluta te gebruiken.

"Terwijl aanvallers de tools hebben voor het vinden van kwetsbare MikroTik-routers, is dat niet het geval bij veel bedrijven", stelt Eclypsium in een blogposting. "Gegeven de uitdagingen van het updaten van MikroTik, zijn er grote aantallen routers met deze kwetsbaarheden uit 2018 en 2019." De meeste kwetsbare MikroTik-routers bevinden zich in Brazilië, China en Rusland. Het securitybedrijf heeft een tool uitgebracht waarmee kan worden gekeken of een router