03.07.2024 19:05
MikroTik Router als DDoS Quellen: Zahlen für Österreich
OVH beschreibt ausführlich in einem Blogbeitrag, dass sie es in letzter Zeit öfters mit DDoS-Angriffen zu tun hatten, die sie auf kompromittierte MikroTik Router zurückführen. Es geht hier um ernsthafte Bandbreiten und Packets/Sekunde: kein Wunder, wenn es die Angreifer geschafft haben, gute angebundene Router für ihre Zwecke einzuspannen.
Die DDoS-Quellen korrelieren mit von außen erreichbaren MikroTik Management-Interfaces (dass das eine schlechte Idee ist, wiederholen wir immer wieder), auch SNMP ist oft offen und kann abgefragt werden.
Ich habe das als Anlass genommen, mal in unserer Datenbasis (basierend auf Scans von Shadowserver) nachzuschauen, wie es um diese Geräte in Österreich bestellt ist: MikroTik Router, die per SNMP ihren Hersteller und ihre Modellnummern verraten.
In Summe sind das (Stand 7.7.2024) 468 IP-Adressen. Da Router potenziell über mehrere Adressen von außen erreichbar sind, sind es wahrscheinlich etwas weniger Geräte. Ob diese alle kompromittiert sind, wissen wir nicht – sorgfältig betrieben sind sie jedenfalls nicht. Wie verteilen sich diese auf die auf MikroTik Modelle? Schaut man sich die SNMP sysdescr an, so kommt man auf:
Aggregiert man auf die groben Produktkategorien, so ergibt sich folgendes Bild:
Wo sind diese Geräte? Wenn ich auf Autonomous Systems (BGP Routing Entities) schaue, dann schaut das so aus:
AS 8412 ist Magenta, AS 13026 ist steirerlan.at, AS 8447 gehört A1, AS 50719 mysys.at und AS 31543 myNET. Das entspricht überhaupt nicht den Marktanteilen dieser ISPs. Das ist oft ein Zeichen dafür, dass hier von manchen Akteuren (nicht notwendigerweise dem ISP) systematisch Geräte mit schlechter Konfiguration verbaut werden.
Update 9.7.2024: Ein regional tätiger ISP hat sich bei uns gemeldet: er hat diesen Blogpost als Anlass genommen, die MikroTik Router bei seinen Kunden besser abzusichern. Ich habe daher die Daten aktualisiert, sie sind jetzt auf Stand 7. Juli.
Generell: Wir schicken täglich Informationen zu offenen SNMP Devices an die Netzbetreiber. Das sollte gefixt werden, weil sich solche Geräte auch als DDoS-Reflektoren missbrauchen lassen.