Una vulnerabilidad conocida en los routers MikroTik es potencialmente mucho más peligrosa de lo que se pensaba anteriormente.
Un investigador de ciberSeguridad de Tenable Research lanzó un nuevo ataque RCE de prueba de concepto (PoC, por sus siglas en inglés) para una antigua vulnerabilidad de cruce de directorios que se detectó y reparó un día después de su descubrimiento en abril de este año.
La vulnerabilidad, identificada como CVE-2018-14847, se calificó inicialmente como de gravedad media, pero ahora debería considerarse crítica porque la nueva técnica de hacking utilizada contra los routers MikroTik vulnerables permite a los atacantes ejecutar código de forma remota en los dispositivos afectados y obtener una shell de root.
La vulnerabilidad afecta a Winbox, un componente de administración para que los administradores configuren sus routers mediante una interfaz basada en la Web, y una aplicación GUI de Windows para el software RouterOS utilizado por los dispositivos MikroTik.
La vulnerabilidad permite a los "atacantes remotos omitir la autenticación y leer archivos arbitrarios modificando una solicitud para cambiar un byte relacionado con una ID de sesión".
Sin embargo, el nuevo método de ataque encontrado por Tenable Research explota la misma vulnerabilidad y lo lleva a un paso adelante.
Una vulnerabilidad de PoC, llamada "By the Way", lanzada por Tenable Research, Jacob Baines, primero utiliza la vulnerabilidad de cruce de directorios para robar las credenciales de inicio de sesión del administrador del archivo de la base de datos del usuario y luego escribe otro archivo en el sistema para obtener acceso remoto al shell root.
En otras palabras, la nueva vulnerabilidad podría permitir a los atacantes no autorizados hackear el sistema RouterOS de MikroTik, desplegar cargas de malware o pasar por alto las protecciones de firewall del enrutador.
La técnica es otro golpe de seguridad contra los enrutadores MikroTik, que previamente fue atacado por el malware VPNFilter y se utilizó en una extensa campaña de cryptojacking descubierta hace unos meses.
Tenable Research informó los problemas a MikroTik en mayo, y la compañía abordó las vulnerabilidades al lanzar sus versiones RouterOS 6.40.9, 6.42.7 y 6.43 en agosto.
Si bien todas las vulnerabilidades fueron parcheadas hace más de un mes, un análisis reciente de Tenable Research reveló que el 70 por ciento de los enrutadores (lo que equivale a 200,000) aún son vulnerables a los ataques.
La conclusión: si tiene un enrutador MikroTik y no ha actualizado su RouterOS, debe hacerlo ahora mismo.
Además, si todavía está utilizando las credenciales predeterminadas en su enrutador, es hora de cambiar la contraseña predeterminada y mantener una contraseña única, larga y compleja.
Fuente: THN
