Investigadores de la
empresa china 360 NetLab han descubierto un ataque sobre routers MikroTik
mediante el cual robaban el tráfico generado.
MikroTik es un
fabricante letón de equipos de red y software dedicado a la administración de
redes. Recientemente, en el curso de una investigación, el equipo de seguridad
de la empresa china 360 NetLab descubrió que una elevado número de equipos del
mencionado fabricante estaba enviando tráfico hacia servidores controlados por
los atacantes.
El origen del ataque
parece encontrarse en una vulnerabilidad que afecta a los routers MikroTik, en
concreto, un exploit hallado en la fuga de herramientas de la CIA, Vault7,
publicada por WikiLeaks. Esta vulnerabilidad, con CVE-2018-14847, permite a un
atacante la lectura de archivos con información sensible, lo que posibilitaría
un acceso a la gestión administrativa del dispositivo.
En el contexto de la
investigación, detectaron que más de 370.000 de estos dispositivos eran
vulnerables al exploit comentado. De estos, alrededor de 239.000 poseían
configurado un proxy socks4 de forma presumiblemente malintencionada.
Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores
de los atacantes. En concreto, el tráfico de los puertos FTP, SMTP, POP3 e
IMAP. Además, y esto parece sorprender a los investigadores, también los
puertos asociados con SNMP, el UDP 161 y 162.
Según el post de 360
NetLab, en España habría 84 dispositivos afectados, 218 en Ecuador, 189 en
Argentina, 122 en Colombia, 25 en Chile, 24 en México, 20 en Nicaragua y 16 en
Paraguay.
La vulnerabilidad fue
parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema
operativo de los routers afectados a la última versión disponible. Adicionalmente,
impedir la salida de los puertos de administración asociados a los componentes
Webfig y Winbox.
Más información:
·
7,500+
MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?
https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours-en/
Fuente: Hispasec