imágenes falsas
Hasta 300.000 enrutadores fabricados por MikroTik, con sede en Letonia, son vulnerables a ataques remotos que pueden acorralar subrepticiamente los dispositivos en redes de bots que roban datos confidenciales de los usuarios y participan en ataques DDoS que paralizan Internet, dijeron los investigadores.
La estimación, realizada por investigadores de la firma de seguridad Eclypsium, se basa en exploraciones en Internet que buscaron dispositivos MikroTik utilizando versiones de firmware que se sabe contienen vulnerabilidades que se descubrieron durante los últimos tres años. Si bien el fabricante ha lanzado parches, la investigación de Eclypsium muestra que una proporción significativa de usuarios aún no los ha instalado.
“Dados los desafíos de actualizar MikroTik, hay una gran cantidad de dispositivos con estas vulnerabilidades de 2018 y 2019”, investigadores de Eclypsium escribió en una publicación. “En conjunto, esto brinda a los atacantes muchas oportunidades para obtener un control total sobre dispositivos muy poderosos, posicionándolos para poder apuntar a dispositivos tanto detrás del puerto LAN como a otros dispositivos en Internet”.
Adoptado por script kiddies y estados-nación por igual
La preocupación está lejos de ser teórica. A principios de 2018, los investigadores de la firma de seguridad Kaspersky dijeron que un poderoso malware estatal llamado Slingshot, que no había sido detectado durante seis años, se propagó inicialmente a través de enrutadores MikroTik. Los ataques descargaron archivos maliciosos de enrutadores vulnerables al abusar de una utilidad de configuración MikroTik conocida como Winbox, que transfirió las cargas útiles del sistema de archivos del dispositivo a una computadora conectada.
Unos meses más tarde, los investigadores de la empresa de seguridad Trustwave descubrieron dos campañas de malware contra enrutadores MikroTik después de aplicar ingeniería inversa a una herramienta de la CIA que se filtró en una serie de WikiLeaks conocida como Vault7.
También en 2018, el Netlab 360 de China informó que miles de enrutadores MikroTik habían sido arrastrados a una botnet por un malware que atacaba una vulnerabilidad rastreada como CVE-2018-14847.
Los investigadores de Eclypsium dijeron que CVE-2018-14847 es una de al menos tres vulnerabilidades de alta gravedad que permanece sin parchear en los dispositivos MikroTik conectados a Internet que rastrearon. Combinado con otras dos vulnerabilidades ubicadas en Winbox:CVE-2019-3977 y CVE-2019-3978—Eclypsium encontró 300.000 dispositivos vulnerables. Una vez que los piratas informáticos infectan un dispositivo, normalmente lo utilizan para lanzar más ataques, robar datos de usuarios o participar en ataques distribuidos de denegación de servicio.
Los investigadores han publicado un herramienta de software gratuita que las personas pueden usar para detectar si su dispositivo MikroTik es vulnerable o está infectado. La empresa también ofrece otras sugerencias para bloquear los dispositivos. Como siempre, la mejor manera de proteger un dispositivo es asegurarse de que esté ejecutando el firmware más reciente. También es importante reemplazar las contraseñas predeterminadas por otras seguras y desactivar la administración remota a menos que sea necesario.