Interesantes

MikroTik 0-day: Vulnerabilidad en Winbox, malware y seguridad.

Hace unos días salió a la luz una nueva vulnerabilidad en el RouterOS y entre los otros que se le han encontrado –son pocos por cierto– es uno de los mas críticos.

El problema viene por el lado del Winbox, que según el alerta de seguridad reportado oficialmente MikroTik, informa que se puede tener acceso a la base de datos de los usuarios del sistema a través de una vulnerabilidad del Winbox; asimismo se indica que el bug se incorporo en la v6.29 y resuelve en las ramas v6.40.8, v6.42.1, v6.43rc4.

En el mismo post oficial se indica que la vulnerabilidad ha sido descubierta por ellos (MikroTik); pero en el hilo de la conversación, un colega indica que fueron varios los usuarios que reportaron accesos a sus router de IP externas y que se mostraba en el log que se realizaban realizando cambios. Por ende alguien ya conocía esta vulnerabilidad y las estaba explotando, según reportes, desde el el 20 de Abril.

Según las capturas compartidas por dichos usuarios, se puede observar que el patrón de acceso es:

  • El atacante realiza una petición al Winbox con el usuario admin y cualquier password, el intento queda reportado en el log
  • Al parecer luego de realizado el paso anterior, el atacante se hace con la base de datos de sistema.
  • El siguiente intento es con un usuario con permisos full. El atacante tiene acceso al router y realiza unos cambios en ip > services

Cuando el atacante acceso al router deja 2 archivos en el files.

  1. dnstest: archivo binario (malware)
  2. save.sh: archivo de texto, con el siguiente contenido.

En el día de hoy, ya son varios los medios que se han hecho eco de esto y los reportes de las empresas de antivirus y seguridad empezaron a comentar de este 0-day.

Según el reporte de Alienvault, indica que el malware que afecta al MikroTik se instala vía Winbox y que luego ejecuta algunos scripts para instalar un malware en /tmp/.dnstest (el archivo binario mencionado anteriormente).

Los honeypots han detectado que el IP Origen del ataque es el 103.1.221.39 (asignada a Taiwan), que de hecho es el que los usuarios reportaron acceso.

Según un Investigador de seguridad de Kaspersky Lab indica:

También se indica que se intenta comunicar con varios dominios del estilo march10dom3[.]com, march10dom2[.]com, etc.

Es lo que se sabe hasta el momento, habrá que esperar que repercusión tiene. Tanto MikroTik como los principales consultores están aconsejando actualizar y cerrar el acceso del Winbox desde el mundo como medidas de protección básica.

Lo que están resaltando es el «relativamente» rápido accionar de MikroTik al liberar las diferentes versiones de las ramas con el arreglo de ésta vulnerabilidad a sólo un día del reporte, en comparación con otras marcas que suelen tardar semanas.

Es de esperar que, debido a la popularidad que ha tenido MikroTik en los últimos años, se haga mas interesante para los hackers y que sea motivo de intento de ataques y que se le intente encontrar vulnerabilidades. Es el mismo ciclo que han tenido otras empresas de networking, sólo que hay que estar a las alturas de las circunstancias, con ataques como el mencionado.

Veremos como continua esta novela en los próximos días.

 

Presentación MUM Asunción, Paraguay 2017

Hace una par de semanas asistí al MikroTik User Meeting de Asunción del Paraguay que se realizó a finales de Julio.

Allí hable sobre como «Utilizar MikroTik RouterOS como IPS» utilizando varias herramientas de código abierto.

Una de ellas es Suricata y las otras son dos proyectos que he creado en GitHub que son:

IPS-MikroTik-Suricata: Módulo que se conecta a la DB del Suricata en búsqueda de ciertos patrones y al encontrarlo, agrega el IP Address atacante a un Router MikroTik vía API.

WebPanel-IPS-MikroTik-Suricata: Webpanel para administración del modulo conector.

La presentación la pueden descargar en PDF y el video puede ser visto desde el canal de Youtube de MikroTik.

Wikileaks, la CIA y la seguridad

El día 7 de Marzo Wikileaks publico una serie de documentos en donde menciona diferentes herramientas que fueron creadas por la CIA que permite acceder a diferentes sistemas operativos como Windows, MacOS, Linux Solaris, MikroTik RouterOS entre otros.

En el caso de MikroTik, la vulnerabilidad viene por el servicio HTTPD el cual permite al exploit «ChimayRed» que pueda inyectar código malicioso al RouterOS.

Hasta que Mikrotik brindó su comunicado oficial, lo que recomendaba era cerrar el puerto del servicio www, generalmente en el 80, con firewall para que solo pueda ser accedido de redes confiables.

Luego de un par de horas, MikroTik publico su versión oficial del hecho, en donde comenta que están investigando el caso y que con la información que puso a disponibilidad Wikileaks logro aplicar un arreglo para paliar la supuesta vulnerabilidad encontrada, -que por cierto según el informe de Wikileaks solo afecta a las versiones anteriores a la v6.30.2-, y dicho arreglo verifica y restaura la estructura interna de los archivos y fue aplicado en las versiones v6.38.5 y v6.37.5 con el siguiente fix:

*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;

La respuesta de MikroTik a la incidencia fue muy rápida en relación a otros vendors que si bien aún no han anunciado el arreglo, si han publicado diferentes documentos sobre sus investigaciones. El que me llamó la atención fue al nivel de detalle que brindo Cisco, en donde en su reporte informa que:

De acuerdo al análisis preliminar de acuerdo a los documentos publicados se tiene:

  • El malware existe y parece afectar a diferentes tipos de dispositivos de Cisco, entre ellos routers y switches.
  • El malware una vez instalado en el dispositivo Cisco, parece proveer un rango de funcionalidades como ser: data logging, data exfiltration, ejecutar comandos con privilegios administrativos y sin dejar ningún registro de dichos comandos ejecutados), html traffic redirection, manipulation and moficitation (insertar código html), DNS posoning, etc.
  • Los autores parecen haber gastado una gran cantidad de tiempo asegurando que las herramientas, una vez instaladas, intenten mantenerse ocultas a la detección y análisis forenses.
  • Los autores han gastado gran cantidad de recursos en la calidad de los testeos, ya que una vez instalado el malware no causan crash en el sistema.

Como se puede apreciar, uno de los principales objetivos de este «ataque de la CIA» fue Cisco y puede leerse en el Wikileaks relacionado.

Algunos usuarios de los foros indican que los tiempos de actualización y parche de Cisco ante este tipo de eventos suele ser tardía y que quienes tienen acceso a ellas a tiempo son principalmente los que tienen el soporte pago, a diferencia de MikroTik que ha publicado rápidamente para todo el mundo su parche.

En fin, son diferentes posturas subjetivas de los usuarios, lo cierto es que ha habido una movida general de los involucrados para tomar alguna medida correctiva a este malware que complica la seguridad de todo el mundo.

MKE Solutions Certificada en ISO 9001:2015

Ya quedó confirmado oficialmente, MKE Solutions ha certificado bajo Norma Internacional de Calidad ISO 9001:2015 su Soporte IT y los entrenamientos MikroTik y Ubiquiti.

Este anunció me llena de orgullo porque ha sido un gran logro conseguido y un objetivo alcanzado por parte de quienes hacemos MKE Solutions. Luego de casi 2 años de implementar un Sistema de Gestión de Calidad en la empresa, hemos conseguido certificarlo en ISO 9001.

Esto nos convierte en el primer y único Training Center del mundo en certificar sus entrenamientos bajo norma de calidad y nos enorgullece mucho.

Ha sido un logro del equipo que conformamos MKE Solutions, ya que cada uno aportó su granito de arena para poder llegar al objetivo.

Un nuevo hito logrado, un paso mas en el camino. Se hace camino al andar.

MUM Guatemala 2017: Suricata y FastNetMon

Hace un par de semanas se celebraron los primeros MUM -MikroTik User Meeting- del año, ésta vez fue en Ciudad de Guatemala y Bogotá.

Pude brindar mi presentación (charla) en el MUM de Guatemala (que dicho sea de paso, fue el día de mi cumpleaños), que hablé de como implementar un sistema de protección de ataque DDoS y un IPS / IDS con Suricata.

La verdad que la repercusión que tuvo mi charla fue mayor a lo que esperaba, he tenido contactos de usuarios de varios países que me felicitaban por la presentación y aportaron algunos consejos o sugerencias para que pueda mejorar la charla en un futuro.

Me enfoque principalmente en como utilizar Suricata para poder detectar intrusiones a través de las alertas de la aplicación y luego poder tomar alguna acción con dicha intrusión.

También hable de FastNetMon, de cómo protegerse de ataques DDoS y como podemos interactuar a través de un API con RouterOS para poder bloquear dicho ataque.

Creo que la repercusión de la charla fue debido a que Pavel, el creador de FastNetMon, twitteo mi charla y de ahi sus seguidores hicieron sus comentarios.

Pueden descargar el PDF de la presentación desde el siguiente enlace.

En un futuro escribiré como utilizar Suricata como IPS con RouterOS a través de un módulo que programé para automatizar la tarea.

Sugerencias y comentarios son bienvenidos.

Agregando Emojis al SSID de MikroTik RouterOS

El utilizar los Emojis hoy es día es muy común y hay cientos de aplicaciones que lo hacen. Una de las características de RouterOS es que permite agregarle al SSID emojis directamente.

Para poder realizarlo hay que convertir el Emojis a Unicode. Una de las formas de hacerlo es utilizando la Tabla de Unicode o utilizar el conversor online.

Una vez que ya tenemos los caracteres convertidos a Unicode lo configuramos por console en la interfaz inalámbrica.
/interface wireless set wlan0 ssid="\F0\9F\98\84"

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

APK para limpiar los Ubiquiti infectados

Desde hace unos días se están infectando a nivel mundial los dispositivos de Ubiquiti que tienen un firmware desactualizado.

Esta infección la realiza un virus llamado «mother fucker» que explota una vulnerabilidad que fue solucionada el año pasado y que quienes no hayan actualizado, estan susceptible al ataque.

En un artículo que escribí en MKE Solutions hablo un poco mas del tema.

Hay varias opciones para hacer la limpieza pero una interesante es un APK para Android que permite realizar la limpieza de los dispositivos desde el mismo smartphone.

Aunque no es una APP oficial, los usuarios que la han probado dicen que funciona a la maravilla. Yo no uso Android por lo que no he podido usarla.

El APK se puede descargar directamente o se puede ingresar al proyecto app-ubnt-virus-cleaner en GitHub

DJ Lazy Set: Un bot de Twitter para Spotify

Bots de Twitter hay de a montones y uno de ellos es DJ Lazy Set, el cual te arma una lista de canciones en relación a un artista, nombre de la banda en Spotify.

Una vez que le twitteas al bot @DJLazySet, este te responde el twit con una lista de 20 canciones relacionadas para escucharla vista Spotify

Yo lo he utilizado un par de veces para que me arme una lista de nuevos temas para salir de la monotonía de escuchar siempre lo mismo.

 

MTHelper: Administrando dispositivos MikroTik

Hace unos días me llego una invitación para probar MTHelper, un servicio que permite administrar dispositivos MikroTik en la nube.

La idea es poder realizar cambios en la configuración de una manera bastante simple y con una interfaz amigable.

Se pueden realizar grupos y aplicarles un tipo de configuración en particular. También se pueden ver los registrados inalámbricos, sus niveles de señales, tráfico consumido entre algunos otros parámetros.

Dispone de un sistema de notificaciones al momento que se realiza alguna alerta o comportamiento, por ejemplo que el dispositivo se vuelta offline, cuando el CPU supere cierto valor, que notifique cuando llegue a cierta temperatura, etc.

Por ahora el sistema es gratuito y su registración esta abierta, veremos que sucede mas adelante.

Mas info: MTHelper