Una campaña de
ataques de 'cryptojacking' afecta a más de 200.000 routers MikroTik de
operadores brasileños.
El 23 de abril, la
empresa MikroTik publicaba un parche que solucionaba una vulnerabilidad en el
módulo 'Winbox' de su sistema 'RouterOS' hasta la versión 6.42.
Después de casi cinco
meses, todavía son muchos los dispositivos que no han sido parcheados y que por
lo tanto son vulnerables a CVE-2018-14847. Debido a esto, más de 200.000
routers MikroTik, la mayoría localizados en Brasil, se han visto afectados por
una oleada de ataques de 'cryptojacking' que utilizaban el software 'CoinHive'
para minar criptomonedas.
El atacante se las
ingeniaba para ejecutar el script de CoinHive en el navegador de las víctimas.
Lo hacía de varias maneras:
Aprovechando la
vulnerabilidad antes mencionada, el atacante modificó las páginas de error del
webproxy para incluir el script de minado.
De esta manera,
cuando el usuario recibía una página de error, se ejecutaba el script que
utilizaba los recursos de la víctima para minar.
Investigaciones
posteriores descubrieron otros mecanismos que el atacante utilizaba para
inyectar el script de minado en todas las páginas web que visitaba la víctima.
Para ello se modificaba el módulo 'wireless' para inyectar el script en el html
de las páginas que visitaban los clientes conectados al router por esta vía.
El atacante también
se preocupó por la persistencia de su ataque. Aprovechando los permisos de
administrador obtenidos al explotar la vulnerabilidad, añadió una tarea al
planificador de procesos de RouterOS que descargaba y ejecutaba el script
'u113.rsc'. Así, cada cierto tiempo se descargaban las paginas de error
modificadas y se creaba la cuenta 'ftu' que servía de 'backdoor'. Además de
algunos comandos que tenían como objetivo limpiar el rastro del atacante para
evitar su detección.
Aunque la mayoría de
los ataques se localizan en Brasil, se han detectado dispositivos afectados en
otros puntos.
Recomendación
- Actualizar
cuanto antes a la última versión disponible del firmware.
Más información:
·
Mass
MikroTik Router Infection – First we cryptojack Brazil, then we take the World?
https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/
Fuente: Hispasec