Cómo los enrutadores MikroTik se convirtieron en objetivo de los ciberdelincuentes - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Cómo los enrutadores MikroTik se convirtieron en objetivo de los ciberdelincuentes

Hola de nuevo. Yo soy Eduardo Arroyo y hoy te voy a contar sobre Cómo los enrutadores MikroTik se convirtieron en objetivo de los ciberdelincuentes

Cómo los enrutadores MikroTik se convirtieron en objetivo de los ciberdelincuentes

Los poderosos dispositivos explotados por la botnet Meris tienen debilidades que los hacen fáciles de explotar, pero complejos para que las organizaciones los monitoreen y aseguren, dijeron los investigadores.

Los investigadores descubrieron que los enrutadores explotados por la botnet Mēris en un ataque masivo de denegación de servicio distribuido (DDoS) contra el gigante ruso de Internet Yandex también fueron la plataforma involuntaria para numerosos ataques cibernéticos. Esto se debe a un estado vulnerable persistente que es difícil de administrar para las organizaciones pero fácil de explotar para los actores de amenazas, dijeron.

Los investigadores de Eclypsium profundizaron en dispositivos para pequeñas oficinas / oficinas en el hogar (SOHO) e Internet de las cosas (IoT) de la empresa letona MikroTik, que tiene alrededor de 2 millones de implementaciones.

Debido a la gran cantidad de dispositivos en uso, su alto poder y las muchas vulnerabilidades conocidas dentro de ellos, los actores de amenazas han estado utilizando dispositivos MikroTik como un centro de comando desde el cual lanzar numerosos ataques durante años, dijeron los investigadores.

Los investigadores de Eclypsium comenzaron a explorar el cómo y el por qué de armar dispositivos MikroTik en septiembre, basándose en investigaciones anteriores sobre cómo los actores de amenazas de TrickBot usaban enrutadores comprometidos como infraestructura de comando y control (C2). Los analistas de Eclypsium descubrieron que TrickBot también pudo aprovechar la infraestructura de MikroTik después de que el Comando Cibernético de EE. UU. Cerró con éxito su infraestructura central.

«Esto nos hizo querer comprender mejor la superficie de ataque de MikroTik y cómo los atacantes podrían usarla una vez que se vean comprometidos», escribieron.

Además de su poder, una de las principales razones por las que los dispositivos MikroTik son tan populares entre los atacantes es que, como muchos dispositivos SOHO e IoT, son vulnerables desde el primer momento. A menudo vienen con credenciales de administrador predeterminadas / contraseñas en blanco, e incluso los dispositivos destinados a entornos corporativos carecen de puertos WAN predeterminados, escribieron los investigadores.

Además, los dispositivos MikroTik a menudo pierden parches de firmware importantes porque su función de actualización automática rara vez se activa, «lo que significa que muchos dispositivos nunca se actualizan», según Eclypsium.

Esto permitió que los CVE que datan de 2018 y 2019, uno de los cuales se usó en el ataque de Yandex, permanecieran sin parches en muchos dispositivos y listos para su explotación, dijeron los investigadores. Errores rastreados como CVE-2019-3977, CVE-2019-3978, CVE-2018-14847 Y CVE-2018-7445 puede conducir a la ejecución de código remoto previamente autenticado (RCE) y la adquisición completa del dispositivo.

Los dispositivos MikroTik también tienen «una interfaz de configuración increíblemente compleja» que invita a cometer errores fáciles de parte de quienes los configuran, lo que permite a los atacantes descubrirlos y abusar de ellos fácilmente en Internet, dijeron los investigadores.

«Las capacidades demostradas en estos ataques deberían ser una señal de alerta para los equipos de seguridad corporativa», escribieron los investigadores en un informe publicado el jueves. «La capacidad de los enrutadores comprometidos para inyectar contenido malicioso, hacer túneles, copiar o redirigir el tráfico se puede utilizar de diversas formas altamente maliciosas».

Estos incluyen el uso de envenenamiento de DNS para redirigir la conexión de un trabajador remoto a un sitio web malicioso o introducir un ataque de máquina en el medio; el uso de técnicas y herramientas bien conocidas por
potencialmente adquirir información confidencial o robar credenciales de autenticación de dos factores (2FA); tunelización del tráfico corporativo a otra ubicación; o inyectar contenido malicioso en el tráfico válido, dijeron los investigadores.

Luego estuvo el ataque a la botnet Mēris, que ocurrió poco después de que Eclypsium comenzara su investigación. Las solicitudes utilizadas en el ataque DDoS de canalización HTTP contra el gigante ruso de Internet Yandex en septiembre provinieron de dispositivos de red MikroTik, y los atacantes explotaron un error incorrecto de 2018 en los más de 56,000 hosts MikroTik involucrados en el incidente.

Además, Eclypsium también encontró alrededor de 20.000 dispositivos con proxies abiertos, que inyectaron varios scripts de cripto minería en páginas web.

«Estos dispositivos son poderosos y, como muestra nuestra investigación, a menudo muy vulnerables», señalaron, y agregaron que los dispositivos MikroTik, además de servir a entornos SOHO, son utilizados habitualmente por redes Wi-Fi locales, que también atraen la atención. atacantes, escribieron.

Threatpost se acercó a MikroTik para comentar sobre los hallazgos y conclusiones de los investigadores.

Los investigadores utilizaron consultas de Shodan para crear un conjunto de datos de 300.000 direcciones IP vulnerables a al menos uno de los exploits RCE antes mencionados, y también rastrearon geográficamente dónde estaban los dispositivos, encontrando que son «particularmente populares», escribieron. Los investigadores encontraron que China, Brasil, Rusia, Italia e Indonesia tenían los dispositivos más vulnerables, y Estados Unidos ocupaba el octavo lugar en la lista.

Eclypsium creó un herramienta disponible gratis lo que podría permitir a los administradores de red probar sus dispositivos en busca de vulnerabilidades de tres maneras: identificar los dispositivos MikroTik con CVE que permitirían el control de dispositivos; intente iniciar sesión con una determinada lista de credenciales predefinidas; y comprobar los indicadores de compromiso de la botnet Mēris.

La herramienta funciona con los protocolos SSH, WinBox y HTTP API, todos los cuales son utilizados por el malware Mēris, dijeron los investigadores. Eclypsium recomendó que las empresas que utilizan la herramienta solo intenten acceder a los dispositivos MikroTik de su propiedad y asuman la responsabilidad de sus propias acciones.

.

Puedes compartir en tus redes sociales para que tus amigos lo flipen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *