10 dic 2021

Al menos 300.000 dispositivos MikroTik vulnerables y explotables de forma remota

Los dispositivos más afectados se encuentran en China, Brasil, Rusia, Italia, Indonesia, y Estados Unidos ocupa el puesto número ocho, dijo la firma de ciberseguridad Eclypsium en un informe "WHEN HONEY BEES BECOME MURDER HORNETS".

Se ha descubierto que al menos 300.000 direcciones IP asociadas con dispositivos MikroTik son vulnerables a múltiples vulnerabilidades de seguridad explotables de forma remota.

Importante: no se trata de vulnerabilidades nuevas, simplemente son vulnerabilidades que los administradores no instalan a tiempo. En un comunicado, la empresa dijo que "No hay nuevas vulnerabilidades en RouterOS. Mantener el sistema operativo actualizado es un paso esencial para evitar todo tipo de vulnerabilidades".

Los dispositivos MikroTik son un objetivo atractivo, sobre todo porque hay más de dos millones de ellos desplegados en todo el mundo, lo que representa una enorme superficie de ataque que los actores de amenazas pueden aprovechar para montar una serie de intrusiones. "Estos dispositivos son poderosos y, a menudo, muy vulnerables. Esto ha convertido a los dispositivos MikroTik en los favoritos entre los actores de amenazas que se han apoderado de los dispositivos para todo, desde ataques DDoS, comando y control (también conocido como 'C2'), túneles de tráfico y más".

De hecho, a principios de septiembre, surgieron informes de una nueva botnet llamada Mēris que organizó un ataque de denegación de servicio distribuido (DDoS) sin precedentes contra la empresa rusa de Internet Yandex mediante el uso de dispositivos de red de Mikrotik como vector de ataque mediante la explotación de una (ahora) vulnerabilidad solucionado (CVE-2018-14847).

En 2018, la empresa de ciberseguridad Trustwave descubrió al menos tres campañas de malware masivas que explotaban cientos de miles de routers MikroTik sin parches, para instalar secretamente mineros de criptomonedas en computadoras conectadas a ellos. El mismo año, el Netlab 360 de China informó que miles de MikroTik vulnerables habían sido utilizados subrepticiamente por una botnet, aprovechando CVE-2018-14847 para espiar el tráfico de la red.

Estas son las cuatro vulnerabilidades descubiertas en los últimos tres años y que podrían permitir la toma de control total de dispositivos MikroTik:

  • CVE-2019-3977 (puntuación CVSS: 7.5) - MikroTik RouterOS validación insuficiente del origen del paquete de actualización, lo que permite restablecer todos los nombres de usuario y contraseñas
  • CVE-2019-3978 (puntaje CVSS: 7.5) - Protecciones insuficientes de MikroTik RouterOS de un recurso crítico, lo que lleva a envenenamiento de caché
  • CVE-2018-14847 (puntuación CVSS: 9.1) - Vulnerabilidad transversal del directorio MikroTik RouterOS en la interfaz WinBox
  • CVE-2018-7445 (puntuación CVSS: 9,8): vulnerabilidad de desbordamiento de búfer SMB de MikroTik RouterOS

Además, los investigadores de Eclypsium dijeron que encontraron 20.000 dispositivos MikroTik expuestos que inyectaban scripts de minería de criptomonedas en las páginas web que visitaban los usuarios.


"La capacidad de los routers comprometidos para inyectar contenido malicioso, hacer túneles, copiar o desviar el tráfico se puede utilizar de diversas formas muy dañinas. El envenenamiento de DNS podría redirigir la conexión de un trabajador remoto a un sitio web malicioso o introducir una máquina en el medio".

Los routers MikroTik están lejos de ser los únicos dispositivos que han sido incorporados a una botnet. Investigadores de Fortinet revelaron esta semana cómo la botnet Moobot está aprovechando una vulnerabilidad conocida de ejecución remota de código (RCE) en los productos de videovigilancia de Hikvision (CVE-2021-36260) para hacer crecer su red y utilizar los dispositivos comprometidos para lanzar la denegación distribuida de ataques de servicio (DDoS).

En otro informe separado, Fortinet dijo que los operadores de una botnet conocida como Manga, también conocida como Dark Mirai, están abusando activamente de una vulnerabilidad de ejecución remota de código posterior a la autenticación (CVE-2021-41653) revelada recientemente para secuestrar enrutadores TP-Link y agregar los dispositivos a su red de dispositivos infectados.

Para clientes de MikroTik se puede descargar una herramienta gratuita de evaluación aquí. Esta herramienta verificará los dispositivos MikroTik para ver si existe un script dañino o si el dispositivo contiene la vulnerabilidad crítica CVE-2018-14847.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!