Hacker patcht unsichere und veraltete Mikrotik-Router

Ein Russisch sprechender Hacker hat es sich offenbar zur Aufgabe gemacht, Nutzer vor Angriffen auf eine seit April bekannte Zero-Day-Lücke in Routern des Herstellers MikroTik zu schützen. Dafür bricht er allerdings in die Geräte ein und ändert ohne Wissen und Zustimmung der Besitzer Einstellungen. Auf diese Art will er bisher mehr als 100.000 Router bereinigt haben.

Der Hacker, der sich selbst Alexey nennt, brüstet sich seiner Aktivitäten sogar auf einer russischen Blogging-Platform. Demnach greift er aus der Ferne auf die Router zu und ändert deren Firewall-Einstellungen. „Ich habe Firewall-Regeln hinzugefügt, die Zugriffe auf den Router von außerhalb des Netzwerks blockieren. In den Kommentaren hinterließ ich Informationen über die Anfälligkeit und die Adresse des @router_os-Telegram-Chanel.“

Es hätten sich allerdings erst rund 50 Nutzer per Telegram bei ihm gemeldet. Nur wenige hätten sich bedankt, die meisten hätten sich empört. Der Hacker betonte zudem, er sei nur in Router eingedrungen, die von ihren Besitzern noch nicht gepatcht worden seien.

MikroTik hatte für die im April bekannte gewordene Schwachstelle CVE-2018-14847 in Rekordzeit einen Fix bereitgestellt. Trotzdem nutzten Cyberkriminelle zeitnah den Bug für ihre eigenen Zwecke. Da Router in der Regel nicht über eine automatische Update-Funktion verfügen, werden oftmals selbst verfügbare Patches nicht von ihren Besitzern eingespielt – oftmals auch aus reiner Unwissenheit.

Der Bug ist jedoch als kritisch zu bewerten. Ein Angreifer kann ohne Eingabe eines Passworts die Nutzerdatenbank des Routers herunterladen. Danach ist es möglich, diese zu entschlüsseln, um dann im Klartext die Anmeldedaten aller hinterlegten Benutzer zu erhalten. Die Anmeldedaten wiederum erlauben es den Angreifern, Einstellungen zu verändern und Skripte auszuführen.

Aufgrund der hohen Verbreitung der Router von MikroTik will der Sicherheitsforscher Troy Mursch bei mehr als 420.000 Geräten Hinweise auf eine Infektion mit Skripten zum Generieren von Kryptowährungen gefunden haben. Es ist aber auch möglich, über die Schwachstelle die DNS-Einstellungen zu verändern und Nutzer so zu schädlichen Websites umzuleiten.

Dass der Hacker Alexey überhaupt in der Lage ist, ungepatchte MikroTik-Router zu säubern, hat er der Nachlässigkeit der Cyberkriminellen zu verdanken, die die Router angreifen. Sie versäumten es stets, offene Ports zu schließen oder die Geräte zu patchen, weswegen jeder die Router weiterhin nach Belieben manipulieren könne.

Trotz seiner möglicherweise guten Absichten handelt der Hacker nicht gesetzeskonform. In den meisten Ländern wird sein Eindringen in einen Router sowie die geänderten Einstellungen als Straftat bewertet.