最新的安全研究发现，网络设备厂商 MikroTik 的路由器系统RouterOS爆出多个重大安全漏洞，将导致超过30万台 MikroTik 设备存在被利用这些安全漏洞遭受远程黑客攻击的风险。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，MikroTik设备在全球部署超过200万台，这构成了一个巨大的攻击面，黑客通过这些攻击点就能发起一系列的入侵行动。包括利用设备进行DDOS攻击、作为C2命令和控制服务器、建立流量隧道等。

今年 9 月初一个名为Mēris的新僵尸网络利用 Mikrotik 的网络设备作为攻击媒介，对俄罗斯互联网公司 Yandex 发起了破纪录的分布式拒绝服务 (DDoS) 攻击。

在过去三年中发现的四个重大安全漏洞可以让 MikroTik 设备完全被控制：

• CVE-2019-3977（CVSS 评分：7.5）- MikroTik RouterOS 升级包来源验证不足，允许重置所有用户名和密码；
• CVE-2019-3978（CVSS 评分：7.5）- MikroTik RouterOS 对关键资源的保护不足，导致缓存中毒；
• CVE-2018-14847（CVSS 评分：9.1）- WinBox 界面中的 MikroTik RouterOS 目录遍历漏洞；
• CVE-2018-7445（CVSS 评分：9.8）- MikroTik RouterOS SMB 缓冲区溢出漏洞；

安全研究人员表示，他们发现了 20000 个暴露的已经被入侵利用的 MikroTik 设备，这些设备将加密货币挖掘脚本注入用户访问的网页。受感染路由器注入恶意内容、隧道、复制或重定向路由流量的能力可以以多种极具破坏性的方式使用。DNS 中毒可能会将远程工作人员的连接重定向到恶意网站或引入中间机。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，攻击者可以使用众所周知的技术和工具来潜在地捕获敏感信息，例如通过 WiFi 使用 SMS 从远程用户那里窃取MFA凭据。与之前的攻击一样，企业流量可以通过隧道传输到另一个位置或将恶意内容注入到有效流量中。

MikroTik 路由器并不是唯一被僵尸网络利用的设备，本周披露的Moobot 僵尸网络则是利用海康威视视频监控产品 ( CVE-2021-36260 ) 中已知的远程代码执行 (RCE) 漏洞来扩展其网络，并使用受感染的设备进行分布式拒绝服务 (DDoS) 攻击。