据白帽汇安全研究院统计，目前发现超过30w的MikroTik路由器被植入挖矿代码，攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取（CVE-2018-14847）漏洞。完整的PoC在今年5月份已经被公布(https://github.com/BasuCert/WinboxPoC)，官方在4月份更新了固件并修复了该漏洞，但是目前仍存在大量用户的没有及时进行更新系统补丁导致被入侵。CVE-2018-14847漏洞影响从6.29到6.42的所有版本的RouterOS。远程攻击者可利用该漏洞绕过身份验证并读取任意文件。攻击者可完全控制该设备，危害极大。

Winbox是一个Windows GUI应用程序，是路由器管理系统RouterOS的一个组件。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。根据白帽汇安全研究院统计，FOFA平台可以搜到230万的Winbox服务。Winbox的全球分布（仅为分布情况，非漏洞影响情况），国内数量还是很多的。

挖矿分析

目前有超过30w的MikroTik路由器已被植入挖矿脚本，某个攻击者已经入侵了10w多的设备，目前数量最多。一个月前数量还是13w，增长了17w多，现在数量仍在已每天1w+的数量持续上升。根据FOFA最新数据分析，以下是被植入的挖矿脚本中KEY或钱包地址及数量统计：

目前已经受感染的设备已经超过30万。巴西有143469，俄罗斯有29095，印度有31102，印度尼西亚有17248，美国有9453。

全球感染挖矿分布

漏洞分析

据分析，黑客利用的是4月份公布的CVE-2018-14847漏洞，虽然官方已修复，但由于其数量庞大的用户群体，仍有大量设备未打补丁，黑客可以利用该漏洞登录路由器。

登录进路由器后，可以进行文件上传，流量监听，执行命令，配置定时任务等操作。目前发现许多黑客批量利用路由器进行挖矿，其挖矿手法并不是在路由器上运行恶意可执行文件，而是通过路由器功能推送包含挖矿脚本的自定义错误页面。接入到该路由器的用户，只要用户在浏览网页时跳转到任何类型的错误页面，都会打开这个包含挖矿脚本的自定义错误页面。如果后端本地服务器也连接到路由器，只要用户连接到了这个服务器，即使没有直接连接到受感染路由器，也会受到影响。

目前发现被挖矿的设备已经无法登陆，也就是说除了目前已经确认被入侵的20多万台设备，还有10到20万台设备面临被入侵的风险。

用户可以在MikroTik RouterOS设备上进行抓包，并把捕获的网络流量转发到指定Stream服务器。目前发现一些黑客在监听该设备。主要监听一些明文数据传输协议对应的端口，比如：20，21，25，110，143端口，这些端口分别对应FTP-data，FTP，SMTP，POP3，IMAP协议。黑客可以根据抓到的受害者的相关网络流量，获取FTP文件，FTP账号密码，电子邮件内容，电子邮件账号密码等。下面是流量监听界面。

CVE

CVE-2018-14847

POC

目前FOFA客户端已经收录该漏洞POC。.

修复建议

• 更新软件系统，同时检测代理和网络流量抓包功能是否被黑客篡改利用。官方地址为https://mikrotik.com/

• 不要将Winbox端口映射到外网。

白帽汇会持续跟进分析，请持续关注链接https://nosec.org/home/detail/1841.html。

参考链接

[1] POC: https://github.com/BasuCert/WinboxPoC

[2]感染挖矿情况：https://fofa.so/result?q=app%3D%22Mikrotik-HttpProxy%22%26%26%28body%3D%22CoinHive.Anonymous%22%7C%7Cbody%3D%22CRLT.Anonymous%22%7C%7Cbody%3D%22+WMP.Anonymous%28%22%29&qbase64=YXBwPSJNaWtyb3Rpay1IdHRwUHJveHkiJiYoYm9keT0iQ29pbkhpdmUuQW5vbnltb3VzInx8Ym9keT0iQ1JMVC5Bbm9ueW1vdXMifHxib2R5PSIgV01QLkFub255bW91cygiKQ%3D%3D