Uwaga! Podatność routerów Mikrotik na atak „Chimay Red”.

Jak podaje źródło https://gbhackers.com/hajime-botnet-port-8291/ i co potwierdziliśmy w konfiguracjach routerów Miktotik, odmiana Hajime Botnet wróciła z nowymi funkcjami i tym razem skierowana jest do portu 8291, aby sprawdzić, czy urządzenie działa z podatnym na uszkodzenia sprzętem: Mikrotik RouterOS.
Atakujący propaguje bota, aby wykorzystać luki w RouterOS, które pozwalają mu wykonywać kod zdalnego wykonania na urządzeniu. MikroTik RouterOS oparty jest na jądrze systemu Linux i jest bardzo często wykorzystywany przez dostawców usług internetowych, a botnet wykorzystuje znane luki w zabezpieczeniach HTTP, SMB i Password Brute jak ma to miejsce w przypadku ostatniej infekcji na port 8291.
Najnowszym wariantem Hajime Botnet jest udane uruchamianie agresywnego skanowania przez port 8291 w celu wykrywania publicznie dostępnych urządzeń i wykorzystywania urządzeń z nimi połączonych.
Znaleziono w modułach ataku Exploit HTTP „Chimay Red”, który może wykorzystać lukę w zabezpieczeniach w procesie serwera HTTP z powodu nieprawidłowej weryfikacji danych wprowadzonych przez użytkownika.

Henwar ITO zadbał już o sugerowane zmiany u klientów wykorzystujących urządzenia Mikrotik:

  • Block unwanted request via 8291.
  • Update MikroTik firmware to v6.41.3 (or at least, above v6.38.5).

Więcej na: https://gbhackers.com/hajime-botnet-port-8291/