Al menos 300.000 direcciones IP asociadas con dispositivos MikroTik tienen múltiples vulnerabilidades de seguridad explotables de forma remota. La empresa que suministra los enrutadores y dispositivos inalámbricos ISP ya ha lanzado una actualización para solucionar los problemas.
Los dispositivos más afectados se encuentran en Brasil, China, Rusia, Italia e Indonesia, según la empresa de ciberseguridad Eclypsium. Los investigadores afirman :
Estos dispositivos son potentes y, a menudo, muy vulnerables. Esto ha convertido a los dispositivos MikroTik en los favoritos entre los actores de amenazas que los han utilizado para todo, desde ataques DDoS, comando y control (también conocido como 'C2'), túneles de tráfico y más.
Los dispositivos MikroTik son un objetivo atractivo, principalmente porque hay más de dos millones de ellos en todo el mundo, presentando una enorme superficie de ataque que pueden ser utilizados por los ciberdelincuentes para una serie de intrusiones.
A principios de septiembre, surgieron informes de una nueva botnet llamada Mēris que llevó a cabo un ataque de denegación de servicio distribuido (DDoS) sin precedentes contra la empresa rusa de Internet Yandex utilizando dispositivos de red Mikrotik como vector de ataque, explotando una vulnerabilidad de seguridad en el sistema operativo ( CVE-2018-14847 ).
Se han encontrado cuatro vulnerabilidades que podrían permitir la adquisición de dispositivos MikroTik durante los últimos tres años:
CVE-2019-3977 (puntuación CSS : 7.5): validación insuficiente de MikroTik RouterOS de la fuente del paquete de actualización, lo que permite un restablecimiento de todos los nombres de usuario y contraseñas
CVE-2019-3978 (puntaje CVS : 7.5) - Protecciones insuficientes de MikroTik RouterOS de un recurso crítico, lo que lleva a envenenamiento de caché
CVE-2018-14847 (puntuación CVS : 9.1) - Vulnerabilidad transversal del directorio MikroTik RouterOS en la interfaz WinBox
CVE-2018-7445 (puntuación CVSS: 9,8) - Vulnerabilidad de desbordamiento de búfer SMB de MikroTik RouterOS
Además, los investigadores de Eclypsium dijeron que encontraron 20.000 dispositivos MikroTik expuestos que inyectaban scripts de minería de criptomonedas en las páginas web que visitaban los usuarios.
La capacidad de los enrutadores comprometidos para inyectar contenido malicioso, encapsular, copiar o redirigir el tráfico se puede utilizar de varias formas muy dañinas. El envenenamiento de DNS puede redirigir la conexión de un trabajador remoto a un sitio web malicioso o introducir una máquina en el medio.
En el informe, los investigadores también destacan:
Un atacante puede utilizar técnicas y herramientas conocidas para capturar información confidencial, como robar las credenciales MFA de un usuario remoto mediante SMS a través de WiFi. Como en ataques anteriores, el tráfico corporativo puede dirigirse a otra parte o inyectarse contenido malicioso en el tráfico válido.
El sitio Bleeping Computer buscó MikroTik y obtuvo la siguiente respuesta:
"El informe Eclypsium trata de las mismas viejas vulnerabilidades que mencionamos en nuestros blogs de seguridad anteriores. Hasta donde sabemos, no hay nuevas vulnerabilidades en RouterOS. Además, RouterOS fue recientemente auditado de forma independiente por varios expertos. Todos llegaron a lo mismo Conclusión Desafortunadamente, cerrar la vulnerabilidad anterior no protege inmediatamente a los enrutadores afectados. No tenemos una puerta trasera ilegal para cambiar la contraseña del usuario y verificar su firewall o configuración. Estos pasos deben ser realizados por los propios usuarios. Hacemos todo lo posible para llegar todos los usuarios de RouterOS y recuérdeles que realicen actualizaciones de software, utilicen contraseñas seguras, verifiquen su firewall para restringir el acceso remoto a partes desconocidas y busquen scripts inusuales.muchos usuarios nunca han estado en contacto con MikroTik y no están monitoreando activamente sus dispositivos. También cooperamos con varias instituciones de todo el mundo en busca de otras soluciones. Mientras tanto, queremos enfatizar la importancia de mantener su instalación de RouterOS actualizada una vez más. Este es el paso fundamental para evitar todo tipo de vulnerabilidades ".
Fuente: The Hacker News
Cuente con International IT para proteger a su empresa de los ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
