Se ha descubierto que al menos 300.000 direcciones IP asociadas con dispositivos MikroTik son vulnerables a muchas vulnerabilidades de seguridad explotables de forma remota, que desde entonces han sido reparadas por un conocido proveedor de enrutadores y dispositivos ISP inalámbricos.

Las instalaciones más afectadas se encuentran en China, Brasil, Rusia, Italia e Indonesia, con Estados Unidos en el octavo lugar, dijo la firma de ciberseguridad Eclypsium en un informe compartido con The Hacker News.

«Estos dispositivos son potentes, [and] a menudo son muy vulnerables «, dijeron los investigadores.» Esto ha convertido a MikroTik en un jugador de amenazas popular que se ha apoderado del dispositivo para todo, desde ataques DDoS, comandos y controles (o ‘C2’), túneles de tráfico y más «.

Los dispositivos MikroTik son un objetivo atractivo, sobre todo porque más de dos millones de ellos están desplegados en todo el mundo, que es un área ofensiva enorme que los actores de amenazas pueden usar para crear una serie de intrusiones.

De hecho, a principios de septiembre, hubo informes de una nueva botnet llamada Mēris, que llevó a cabo un ataque récord de denegación de servicio distribuido (DDoS) contra la empresa rusa de Internet Yandex utilizando dispositivos de red Mikrotik como vector de ataque al explotar la seguridad ahora resuelta. vulnerabilidad en el sistema operativo (CVE). -2018-14847).

Esta no es la primera vez que los enrutadores MikroTik se han armado con ataques del mundo real. En 2018, la seguridad cibernética Trustwave descubrió al menos tres campañas de malware masivas que utilizaban cientos de miles de enrutadores MikroTik sin reparar para instalar en secreto criptomonedas en las computadoras conectadas a ellos. En el mismo año, el Netlab 360 de China anunció que miles de enrutadores MikroTik vulnerables se habían introducido en secreto en la botnet utilizando CVE-2018-14847 para espiar el tráfico de la red.

CVE-2018-14847 también se encuentra entre las cuatro vulnerabilidades no resueltas descubiertas en los últimos tres años que podrían permitir la adquisición total de MikroTik:

• CVE-2019-3977 (Puntuación CVSS: 7.5) – Verificación insuficiente de MikroTik RouterOS del origen del paquete de actualización, lo que permite restablecer todos los nombres de usuario y contraseñas
• CVE-2019-3978 (Puntaje CVSS: 7.5) – MikroTik RouterOS protección insuficiente de recursos críticos, lo que conduce a envenenamiento de caché
• CVE-2018-14847 (Puntaje CVSS: 9.1) – Vulnerabilidad de navegación del directorio MikroTik RouterOS en WinBox
• CVE-2018-7445 (Puntuación CVSS: 9,8) – Vulnerabilidad de desbordamiento del búfer de MikroTik RouterOS SMB

Además, los investigadores de Eclypsium dijeron que encontraron 20.000 dispositivos MikroTik expuestos que insertaban scripts de criptomonedas en los sitios web visitados por los usuarios.

«La capacidad de los enrutadores comprometidos para incrustar contenido malicioso, hacer túneles, copiar o redirigir el tráfico puede explotarse de varias formas muy dañinas», dijeron los investigadores. «El envenenamiento del DNS podría redirigir las conexiones de los trabajadores remotos a un sitio web malicioso o implementar una máquina en el medio».

«Un atacante podría utilizar técnicas y herramientas conocidas para interceptar información confidencial, como robar las credenciales MFA de un usuario remoto a través de SMS a través de WiFi. Al igual que con ataques anteriores, el tráfico corporativo podría canalizarse a otra ubicación o convertirse en tráfico válido. contenido dañino «. Añadieron los científicos.

Los enrutadores MikroTik están lejos de ser los únicos dispositivos que han sido incorporados a una botnet. Los investigadores de Fortinet descubrieron esta semana cómo la botnet Moobot usa una vulnerabilidad conocida de ejecución remota de código (RCE) en los productos de videovigilancia de Hikvision (CVE-2021-36260) para expandir su red y usar dispositivos comprometidos para lanzar ataques distribuidos de denegación de servicio (DDoS).

En un informe separado, la compañía de seguridad cibernética dijo que los operadores de botnets conocidos como Manga, también conocido como Dark Mirai, estaban explotando activamente una vulnerabilidad de ejecución remota de código descubierta recientemente después de la verificación (CVE-2021-41653) para secuestrar TP-Link et al. -registrar dispositivos en su red de dispositivos infectados.

Actualizaciones

En un comunicado compartido con The Hacker News, la empresa letona dijo que «no hay nuevas vulnerabilidades en RouterOS», y destacó que mantener actualizado el sistema operativo es «un paso crucial para evitar todo tipo de vulnerabilidades».

«Desafortunadamente, cerrar la vieja vulnerabilidad no protege de inmediato a los enrutadores afectados. No tenemos puertas traseras ilegales, por lo que podemos cambiar la contraseña de un usuario y verificar su firewall o configuración. Estos pasos deben ser realizados por los propios usuarios», explicó la compañía. .

«Hacemos nuestro mejor esfuerzo para llegar a todos los usuarios de RouterOS y recordarles que actualicen el software, utilicen contraseñas seguras, verifiquen los firewalls, restrinjan el acceso remoto a partes desconocidas y busquen scripts inusuales. Desafortunadamente, muchos usuarios nunca han estado en contacto con MikroTik No supervisamos activamente sus instalaciones. Trabajamos con varias instituciones de todo el mundo para encontrar otras soluciones «.