Investigadores de Qihoo 360Netlab informaron hoy en su blog sobre miles de router Mikrotik en todo el mundo comprometidos a través de la
vulnerabilidad CVE-2018-14847.
Una vez explotada esta vulnerabilidad los
ciberdelincuentes modifican las opciones de configuración del
dispositivo, específicamente el panel "packet sniffing setting", para capturar el trafico TZSP (Protocolo Tazmen Sniffer) de los usuarios y reenviarlo
hacia nueve direcciones IP externas tal como se muestra en la siguiente imagen:
 |
| "Una gran cantidad de dispositivos se encuentran configurados con la dirección ip 37.1.207.114" según informan los expertos de Qihoo. |
Este bug afecta directamente al
componente Winbox, utilidad para la administracion Mikrotik RouterOs, donde al atacante puede evadir la autenticación y leer
archivos arbitrarios.
El resultado del análisis publicado por Qihoo 360Netlab muestra que los atacantes están particularmente interesados en los puertos 20, 21, 25, 110 y 144 correspondientes al tráfico de datos FTP, FTP, SMTP, POP3 e IMAP. Ademas, también se logro identificar que existe gran interés en el tráfico proveniente de los puertos 161 y 162 de SNMP (Simple Network Management Protocol) pero los investigadores aun se encuentran analizando cual puede ser el motivo de esto ultimo.
El resultado del análisis publicado por Qihoo 360Netlab muestra que los atacantes están particularmente interesados en los puertos 20, 21, 25, 110 y 144 correspondientes al tráfico de datos FTP, FTP, SMTP, POP3 e IMAP. Ademas, también se logro identificar que existe gran interés en el tráfico proveniente de los puertos 161 y 162 de SNMP (Simple Network Management Protocol) pero los investigadores aun se encuentran analizando cual puede ser el motivo de esto ultimo.
Inyección de código Coinhive
Estos ataques buscan infectar dispositivos con el script de criptomineria Coinhive. Los ciberdelincuentes habilitan el proxy HTTP de Mikrotik RouterOS logrando redirigir todas las consultas a una página de error HTTP 403 local, y en esta página de error se inserta un enlace para el código de minería web de coinhive.com.
"Al hacer esto, el atacante espera realizar una minería web para todo el tráfico proxy en los dispositivos de los usuarios.", dicen los investigadores.
"Al hacer esto, el atacante espera realizar una minería web para todo el tráfico proxy en los dispositivos de los usuarios.", dicen los investigadores.
Sock4 Proxy
El mayor número de dispositivos MikroTik comprometidos tiene configurado un proxy Socks4 malicioso, que permite el acceso desde el bloque de direcciones IP 95.154.216.128/25. Para lograr la persistencia, el atacante programó una tarea en el dispositivo para informar su dirección IP actual conectándose a una URL específica.
El mayor número de dispositivos comprometidos se encuentra en Rusia (1.628), seguido de Irán (637), Brasil (615), India (594) y Ucrania (544). Los investigadores descubrieron que aproximadamente el 31% de los dispositivos MikroTik actualmente expuestos son vulnerables a CVE-2018-14847. Esto representa 370,000 endpoints, la mayoría de ellos presentes en Brasil y Rusia.
Los investigadores recomiendan a los usuarios de MikroTik que instalen la última versión de firmware en el dispositivo. También se recomienda revisar la configuración actual de las opciones proxy HTTP, proxy Socks4 y packet sniffing setting.
Referencias vulnerabilidad CVE-2018-14847:
- https://nvd.nist.gov/vuln/detail/CVE-2018-14847
- https://github.com/BasuCert/WinboxPoC
- https://github.com/BigNerd95/WinboxExploit
- https://n0p.me/winbox-bug-dissection/
Puedes leer en detalle esta investigación en el siguiente link.
Fuente:
https://www.bleepingcomputer.com/news/security/thousands-of-compromised-mikrotik-routers-send-traffic-to-attackers/
