Etiqueta: MikroTik

Secuestran el tráfico de más de 7.500 routers MikroTik

Investigadores de la empresa china 360 NetLab han descubierto un ataque sobre routers MikroTik mediante el cual robaban el tráfico generado.

MikroTik es un fabricante letón de equipos de red y software dedicado a la administración de redes. Recientemente, en el curso de una investigación, el equipo de seguridad de la empresa china 360 NetLab descubrió que una elevado número de equipos del mencionado fabricante estaba enviando tráfico hacia servidores controlados por los atacantes.

El origen del ataque parece encontrarse en una vulnerabilidad que afecta a los routers MikroTik, en concreto, un exploit hallado en la fuga de herramientas de la CIA, Vault7, publicada por WikiLeaks. Esta vulnerabilidad, con CVE-2018-14847, permite a un atacante la lectura de archivos con información sensible, lo que posibilitaría un acceso a la gestión administrativa del dispositivo.

En el contexto de la investigación, detectaron que más de 370.000 de estos dispositivos eran vulnerables al exploit comentado. De estos, alrededor de 239.000 poseían configurado un proxy socks4 de forma presumiblemente malintencionada. Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores de los atacantes. En concreto, el tráfico de los puertos FTP, SMTP, POP3 e IMAP. Además, y esto parece sorprender a los investigadores, también los puertos asociados con SNMP, el UDP 161 y 162.

Según el post de 360 NetLab, en España habría 84 dispositivos afectados, 218 en Ecuador, 189 en Argentina, 122 en Colombia, 25 en Chile, 24 en México, 20 en Nicaragua y 16 en Paraguay.

La vulnerabilidad fue parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema operativo de los routers afectados a la última versión disponible. Adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox.


7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?

https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours-en/

Oleada de ataques de ‘cryptojacking’ afecta a más de 200.000 routers MikroTik

Una campaña de ataques de ‘cryptojacking’ afecta a más de 200.000 routers MikroTik de operadores brasileños.

 

El 23 de abril, la empresa MikroTik publicaba un parche que solucionaba una vulnerabilidad en el módulo ‘Winbox’ de su sistema ‘RouterOS’ hasta la versión 6.42.

Después de casi cinco meses, todavía son muchos los dispositivos que no han sido parcheados y que por lo tanto son vulnerables a CVE-2018-14847. Debido a esto, más de 200.000 routers MikroTik, la mayoría localizados en Brasil, se han visto afectados por una oleada de ataques de ‘cryptojacking’ que utilizaban el software ‘CoinHive’ para minar criptomonedas.

El atacante se las ingeniaba para ejecutar el script de CoinHive en el navegador de las víctimas. Lo hacía de varias maneras:

Aprovechando la vulnerabilidad antes mencionada, el atacante modificó las páginas de error del webproxy para incluir el script de minado.

Página de error manipulada. Fuente: www.trustwave.com
Página de error manipulada. Fuente: www.trustwave.com


De esta manera, cuando el usuario recibía una página de error, se ejecutaba el script que utilizaba los recursos de la víctima para minar.

Investigaciones posteriores descubrieron otros mecanismos que el atacante utilizaba para inyectar el script de minado en todas las páginas web que visitaba la víctima. Para ello se modificaba el módulo ‘wireless’ para inyectar el script en el html de las páginas que visitaban los clientes conectados al router por esta vía.

Módulo ‘wireless’ manipulado. Fuente: www.trustwave.com
Módulo ‘wireless’ manipulado. Fuente: www.trustwave.com

El atacante también se preocupó por la persistencia de su ataque. Aprovechando los permisos de administrador obtenidos al explotar la vulnerabilidad, añadió una tarea al planificador de procesos de RouterOS que descargaba y ejecutaba el script ‘u113.rsc’. Así, cada cierto tiempo se descargaban las paginas de error modificadas y se creaba la cuenta ‘ftu’ que servía de ‘backdoor’. Además de algunos comandos que tenían como objetivo limpiar el rastro del atacante para evitar su detección.

Planificador de procesos de RouterOS. Fuente: www.trustwave.com

Aunque la mayoría de los ataques se localizan en Brasil, se han detectado dispositivos afectados en otros puntos.

Se recomienda actualizar cuanto antes a la última versión disponible del firmware.