Router
Perbarui RouterOS dari router MikroTik dan periksa pengaturan untuk melindungi diri Anda dari botnet Mēris dan hapus malware dari router yang sudah terinfeksi jika perlu.
Baru-baru ini, serangan DDoS skala besar menggunakan botnet baru yang disebut Mēris mencapai hampir 22 juta permintaan per detik. Menurut laporan Qrator Labs, perangkat jaringan MikroTik menghasilkan sebagian besar lalu lintas dari botnet Mēris.
Para ahli dari MikroTik menganalisis situasi dan tidak menemukan kerentanan baru di router perusahaan, tetapi kerentanan yang terkenal masih dapat menimbulkan ancaman hari ini. Untuk alasan ini, kami merekomendasikan agar semua pengguna router MikroTik memastikan bahwa router mereka belum menjadi bagian dari botnet Mēris (atau botnet lainnya). Mengapa router MikroTik dibajak untuk botnet
Beberapa tahun yang lalu, peneliti keamanan TI menemukan kerentanan pada router MikroTik: Winbox, alat konfigurasi untuk router MikroTik yang membahayakan massa perangkat. Meskipun perusahaan telah mengamankan celah pada tahun 2018 dengan versi firmware baru untuk router yang dimaksud, ini sebagian besar tidak menyelesaikan masalah karena banyak pengguna tidak memperbarui router mereka.
Sementara pengguna lain memperbarui router mereka, mereka tidak mengikuti rekomendasi perusahaan untuk mengubah kata sandi mereka juga. Agaknya, para penyerang menangkap data akses ke perangkat yang terkena dampak pada saat itu, yang masih dapat mereka akses jika kata sandi belum diubah. Bahkan setelah pembaruan keamanan, penyerang masih akan memiliki akses dalam kasus ini.
Menurut MikroTik, router yang saat ini terinfeksi Mēris adalah perangkat yang dikompromikan pada tahun 2018. Perusahaan telah menerbitkan informasi tentang tanda-tanda kompromi dan rekomendasi dalam hal ini. Bagaimana cara mengetahui apakah router saya adalah bagian dari botnet?
Ketika router ditambahkan ke botnet, penjahat cyber mengubah beberapa pengaturan di firmware perangkat. Untuk alasan ini, MikroTik merekomendasikan untuk terlebih dahulu melihat pengaturan router dan memeriksa hal-hal berikut:Aturan yang mengeksekusi skrip menggunakan perintah fetch. Jika perlu, hapus aturan ini (di bawah System → Scheduler).Server proxy SOCKS diaktifkan. Pengaturan dapat ditemukan di bawah IP → SOCKS. Nonaktifkan proxy SOCKS jika Anda tidak menggunakannya.Klien L2TP bernama lvpn, (atau klien L2TP lainnya yang tidak Anda kenal). Hapus klien tersebut.Aturan firewall yang memungkinkan akses jarak jauh melalui port 5678. Hapus aturan ini.Cara melindungi router MikroTik Anda
Pembaruan rutin adalah bagian dari strategi perlindungan yang sukses. Praktik terbaik keamanan jaringan umum yang sama berlaku untuk jaringan MikroTik.Pastikan router Anda menggunakan versi terbaru firmware dan perbarui secara teratur.Nonaktifkan akses jarak jauh ke perangkat kecuali Anda benar-benar membutuhkannya.Konfigurasikan akses jarak jauh - bahkan dalam hal ini hanya jika Anda benar-benar membutuhkannya - melalui saluran VPN. Misalnya, Anda dapat menggunakan protokol IPSec untuk ini.Gunakan kata sandi admin yang panjang dan kuat. Bahkan jika Anda sudah memiliki kata sandi yang kuat, disarankan untuk mengubahnya sebagai tindakan pencegahan.
Umumnya berasumsi bahwa jaringan lokal Anda tidak aman, karena jika komputer terinfeksi, malware dapat menyerang router melalui perangkat yang disusupi, mencoba untuk memecahkan kata sandi dan mungkin mendapatkan akses ke sana. Untuk alasan ini, kami sarankan Anda menggunakan solusi keamanan yang andal di semua komputer yang terhubung ke Internet.