Mēris adlı yeni bir botnet kullanan son büyük ölçekli DDoS saldırıları, saniyede yaklaşık 22 milyon istekle zirveye ulaştı. Qrator’un gerçekleştirdiği araştırmaya göre botnet trafiğinin oldukça büyük bir kısmını MikroTik’in ağ cihazları oluşturuyordu.
Durumu analiz eden MikroTik uzmanları, şirketin yönlendiricilerinde yeni bir güvenlik açığı bulamadılar; ancak eski açıkların hala bir tehdit oluşturma ihtimali söz konusu. Bu nedenle, yönlendiricinizin Mēris botnet’ine (veya bu konudaki başka bir botnet’e) dahil olmadığından emin olmak için birkaç öneriye uymanız gerekiyor.
MikroTik cihazları neden botnet’e katılıyor
Birkaç yıl önce, yapılan bir güvenlik araştırması sonucunda MikroTik yönlendiricilerinde bir güvenlik açığı keşfedildi: MikroTik yönlendiriciler için Winbox adında, birçok cihazın güvenliğinin ihlal edildiği bir yapılandırma aracı. Her ne kadar MikroTik güvenlik açığını 2018’de kapatmış olsa da, görünen o ki tüm kullanıcılar yönlendiricilerine güncellemeyi yüklememiş.
Dahası güncellemeyi yapsalar bile herkes üreticinin güncellemeye ek olarak parola değiştirme önerilerine uymamış. Bir kullanıcı parolayı değiştirmediyse, ürün yazılımı güncellenmiş olsa bile saldırganların yönlendiricide oturum açmasına ve yönlendiriciyi tekrar suistimal etmesine imkan veriyor.
MikroTik‘e göre şu an Mēris’in bulaştığı yönlendiriciler, 2018’de güvenliği ihlal edilenlerle aynı cihazlar. Şirket, cihazın güvenliğinin ihlal edildiğini gösteren işaretleri yayınladı ve konuyla ilgili önerileri paylaştı.
MikroTik yönlendiricinizin bir botnet’e dahil olup olmadığını nasıl anlarsınız?
Bir yönlendirici bir botnet’e katıldığında, siber suçlular cihazın ürün yazılımındaki bir dizi ayarda değişiklik yaparlar. Bu nedenle MikroTik’in ilk önerisi, cihazın konfigürasyonuna bakmak ve aşağıdakileri kontrol etmektir:
- Komut dizisini (script) fetch () yöntemiyle yürüten bir kural varsa (Sistem → Zamanlayıcı menüsünden) bu kuralı silin,
- Bir SOCKS proxy sunucusu etkinleştirildiyse, IP → SOCKS menüsünden ulaşabileceğiz ayar ile sunucuyu kullanmıyorsanız devre dışı bırakın,
- Lvpn adlı bir L2TP istemcisi (veya size yabancı gelen başka bir L2TP istemcisi) varsa, bu istemcileri de silin,
- 5678 numaralı bağlantı noktası üzerinden uzaktan erişime izin veren bir güvenlik duvarı kuralı varsa bu kuralı silin.
MikroTik yönlendiricinizi korumanıza yönelik öneriler
Düzenli güncellemeler, başarılı bir savunma stratejisinin oldukça önemli bir parçasıdır. Bir MikroTik ağının güvenliğini sağlama konusunda yapılacakların büyük bir kısmı ağ güvenliği konusundaki en iyi uygulamaların takip edilmesidir.
- Yönlendiricinizin mevcut en son ürün yazılımını kullandığından emin olun ve güncellemelerini düzenli olarak yapın,
- Zorunlu olmadığınız sürece cihaza uzaktan erişimi devre dışı bırakın,
- Gerçekten ihtiyacınız varsa uzaktan erişimi bir VPN kanalı aracılığıyla yapılandırın. Örneğin IPsec protokolünü kullanın,
- Yönlendiricinin yönetimi için uzun ve güçlü bir parolası kullanın. Mevcut parolanız güçlü olsa bile, her ihtimale karşı parolanızı hemen değiştirin.
Genel olarak, yerel alan ağınızın güvenli olmadığı varsayımı altında hareket edin, yani bir bilgisayara kötü amaçlı yazılım bulaşması halinde, çevre cihazlardan yönlendiriciye saldırabilir ve kaba kuvvet saldırısıyla parolaya ulaşarak erişim sağlayabilir. Bu nedenle internete bağlı tüm bilgisayarlarda, güvenilir güvenlik çözümleri kullanmanızı şiddetle tavsiye ediyoruz.