Esta publicación resume los datos sobre la vulnerabilidad del servicio www en RouterOS que fue publicada por Wikileaks como parte del lanzamiento del documento de Vault 7. La vulnerabilidad afectó a la interfaz de configuración RouterOS webfig, si no se estableció un firewall para protegerlo. MikroTik corrigió la vulnerabilidad en las siguientes versiones de
RouterOS:
6.37.5 en el canal Bugfix.
6.38.5 en el canal Current.
Ambos fueron lanzados en 2017-Mar-09.
La vulnerabilidad en cuestión fue explotada posteriormente por varias herramientas maliciosas y usuarios afectados de RouterOS que no habían actualizado RouterOS por encima de las versiones mencionadas, y habían abierto el puerto de servicio www (puerto TCP 80) a redes no confiables.
VPNfilter:
MikroTik fue informado por el grupo de investigación Cisco Talos el 22 de mayo de 2018, de que se encontró una herramienta maliciosa en varios dispositivos del fabricante, incluidos los dispositivos fabricados por MikroTik. Estamos muy seguros de que este malware se instaló en estos dispositivos a través de la vulnerabilidad mencionada anteriormente en el servicio www.
Simplemente actualizando el software de RouterOS se elimina el malware con cualquier otro archivo de terceros y cierra la vulnerabilidad. La actualización de RouterOS se realiza con unos pocos clics y toma solo un minuto. Para estar seguro contra cualquier tipo de ataque en el futuro, asegúrese de tener acceso seguro a sus dispositivos.
Si estaba ejecutando una versión de RouterOS lanzada antes de marzo de 2017 (6.37.5 en el canal Bugfix, o 6.38.5 en el canal Current) y había permitido el acceso a la interfaz web del dispositivo desde Internet, le sugerimos los siguientes pasos:
-Actualiza RouterOS
-cambia tu contraseña
Proteja su dispositivo de acuerdo con nuestra guía oficial
El nombre VPNfilter es solo un nombre de código del malware que se encontró (más específicamente, un nombre ejecutable falso). El modus operandi de esta herramienta no tiene relación con los túneles VPN.
Hajime botnet:
Nos ha llegado la noticia de que un botnet delincuente está escaneando direcciones IP públicas aleatorias para encontrar puertos Winbox (8291) y WWW (80) abiertos, para explotar la vulnerabilidad descrita anteriormente. Dado que todos los dispositivos RouterOS ofrecen actualizaciones gratuitas con solo dos clics, le recomendamos que actualice sus dispositivos con el botón "Buscar actualizaciones", si no lo hizo durante el último año.
Sus dispositivos están seguros si el puerto 80 tiene cortafuegos o si se ha actualizado a v6.38.5 o posterior. Si está utilizando nuestros dispositivos home access point con configuración predeterminada, están protegidos por el firewall de fábrica, y también debe estar seguro, pero actualice por seguridad.
FAQ:
¿Qué se ve afectado?
- Webfig con puerto estándar 80 y sin reglas de firewall
- Winbox no tiene nada que ver con la vulnerabilidad, el puerto de Winbox solo lo utilizan los escáneres para identificar los dispositivos de la marca MikroTik. Luego procede a explotar Webfig a través del puerto 80.
¿Estoy seguro?
- Si actualizaste tu enrutador en los últimos ~ 12 meses, estás a salvo
- Si tuviste "servicio ip" "www" deshabilitado: estás a salvo
- Si configuró el cortafuegos para el puerto "80": está a salvo
- Si solo tenía un Hotspot en su LAN, pero Webfig no estaba disponible: está a salvo.
- Si solo tenía Administrador de usuarios en su LAN, pero Webfig no estaba disponible: está seguro.
- Si tenía otro puerto de Winbox antes de esto: está a salvo del análisis, pero no de la infección.
- Si tiene "winbox" desactivado, está a salvo del análisis, no de la infección.
- Si tenía " ip service" "allowed-from" configurado en una red específica: está seguro si esa red no está infectada.
- Si tenía "Webfig" visible en la red LAN, podría estar infectado por un dispositivo infectado en su LAN.
¿Cómo detectar y curar?
- La actualización a v6.38.5 o posterior eliminará los archivos defectuosos, detendrá la infección y evitará algo similar en el futuro.
- Si actualiza el dispositivo y aún ve intentos de acceder a Telnet desde su red, ejecute Tool / Torch y descubra el origen del tráfico. No será el enrutador en sí, sino otro dispositivo en la red local que también se verá afectado y requerirá una actualización.
Fuente: blog.mikrotik.
Comments