Una herramienta que encontré y que me parece muy útil es gcping, la cual permite medir la latencia hacia las diferentes regiones de Google Cloud.
Puede ser utilizada de manera web a través del sitio gcping.com. También a través de un ejecutable, el cual está escrito en Go y de código abierto, que está disponible su proyecto en GitHub. Este proyecto no es oficial de Google.
Hace unos días, MikroTik ha publicado un parche para una importante falla de seguridad en el RouterOS y ha confirmado que la vulnerabilidad fue explotada hace cinco meses en el concurso de piratería Pwn2Own Toronto.
En un aviso básico que documenta la falla CVE-2023-32154, MikroTik confirmó que el problema afecta a dispositivos que ejecutan las versiones v6.xx y v7.xx de MikroTik RouterOS con la funcionalidad de recepción de anuncios RA de IPv6 habilitada.
Según ZDI, los organizadores del evento de explotación de software Pwn2Own, la vulnerabilidad permite a los atacantes dentro de una red ejecutar código arbitrario en las instalaciones afectadas de RouterOS.
«La autenticación no es necesaria para explotar esta vulnerabilidad«, advirtió ZDI en un aviso.
«La falla específica se encuentra en el Demonio de Anuncios del router. El problema se produce debido a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root«, dijo la empresa.
Los organizadores de Pwn2Own decidieron hacer público un aviso antes de que estuvieran disponibles los parches, después de esperar cinco meses a que MikroTik reconociera y solucionara la falla de seguridad que ya había sido explotada.
ZDI dijo que informó del problema a MikroTik durante el evento en diciembre pasado y volvió a solicitar una actualización en mayo de este año, cinco meses después. El 10 de mayo, ZDI dijo que «volvió a divulgar el informe a petición del proveedor» y dio a la empresa una semana adicional para proporcionar soluciones.
En su respuesta, MikroTik dijo que no puede encontrar un registro de la divulgación de diciembre por parte de ZDI y que no estuvo presente en el evento de Toronto en diciembre para discutir la explotación.
Las fallas de seguridad en los routers MikroTik han aparecido en la lista de parches obligatorios de CISA y se han utilizado en el pasado para crear botnets maliciosas.
Más información en Securityweek, zerodayinitiative
En uno de los proyectos que estoy trabajando tuve la necesidad de tener información sobre las direcciones IP y algunos ASN.
Yo ya tenía librerías en PHP que utilizaban GeoIP, pero las fuentes para actualizar las base de datos no cambiaron y se complicó su automatización.
Una herramienta que encontré, realiza la descarga de las bases de datos de IPv4 e IPv6. A su vez tiene un script que realiza la descarga y actualización automáticamente.
El enlace del sitio web es: https://mailfud.org/geoip-legacy/
Dentro de unos días se hará el lanzamiento oficial de la nueva versión v2 del servicio UTRS Unwanted Traffic Removal Service que ofrecen los amigos de Cymru.
El servicio de UTRS v1 permite la mitigación de los ataques DDoS. Funciona a través de una cooperación de mas de 900 redes conectadas entre los que hay proveedores de internet, servidores de hosting, etc que realizan intercambio de información vía BGP.
Se puede leer más sobre este servicio en el sitio oficial de Cymru.
En la próxima versión se tienen nuevas funcionalidades que serán de mucha utilidad para los participantes de la comunidad, entre algunos de ellos tenemos:
El 27 de Octubre será el lanzamiento oficial y seguramente habrá más información al respecto.
Con estos nuevos agregados hacen que el servicio de UTRS cada vez sea más valioso.
En la charla que di para CABASE hace unos meses sobre Fastnetmon, comenté como funciona este servicio de Cymru.
Presentación de Maximiliano Dobladez para el Encuentro Nacional de Técnicos 2021, CABASE.
Qué son y cómo funcionan los ataques DDoS ?
Cómo se clasifican los ataques?, Qué medidas de protección se pueden tomar?.
Qué son las comunidades Blackhole ?
Qué es Fastnetmon y cómo funciona ?,
Cómo se integra con MikroTik ?
Todas estás preguntas son respondidas en ésta presentación
Unas semanas atrás fue publicada una actualización del FastNeMon Community. La versión actual es la v1.1.7 Crawley.
En la lista de cambios que ha sido publicada en el repositorio oficial de Github se mencionan:
Hace un par de horas realicé un aporte al proyecto actualizando la librería del RouterOS API para que pueda conectarse con versiones de RouterOS mayores a la v6.45.1, la cual tuvo un cambio en la forma de autenticarse vía API.
La actualización puede ser vista en la sección del Plugin de MikroTik dentro del repositorio oficial del proyecto.
En la medida que tengo un tiempito disponible, estoy armando una presentación para poder organizar un webinar sobre Fastnetmon Community / Advanced, con sus diferencias, formas de implementarlo y la integración con FNM Manager, el panel administrador de Fastnetmon Advanced desarrollado por MKE Solutions.
Estaré anunciando con tiempo el día, horario y la plataforma que se transmitirá el streaming, que seguramente será el canal oficial de MKE Solutions en Youtube.
En las últimas semanas me estoy dedicando a conocer cómo actúan los malwares, botnets entre otros ya que estoy desarrollando una aplicación de seguridad para empresas que ayuda a protegerse de dichos ataques.
La mayoría de los malware Mirai-like son bastante conocidos desde hacen años y sus ataques están orientado principalmente a IoT o similares (Televisores Smart, Teléfonos Inteligentes, Cámaras IP, etc).
Los malwares por si mismo no aportan nada nuevo al código fuente original de Mirai, lo cual no es una sorpresa porque el código se ha mantenido sin cambios durante años y se puede leer un poco mas sobre sus acciones en este enlace.
De acuerdo a las investigaciones de las principales empresas de seguridad han encontrado un nuevo malware llamado Echobot al que le han agregado unos módulos adicionales al código fuente original de Mirai.
De hecho cuando fue descubierto por primera vez (por Palo Alto Networks) a principio de Junio, Echobot explotaba unas 18 vulnerabilidades. Según el último informe de Akamai, una semana después, Echobot explotaba unas 26.
Echobot ademas de tener los viejos exploit (como los otros malwares), tiene un agregado adicional, la posibilidad de infectar a dispositivos y que éstos mismos se dediquen a encontrar nuevos host que puedan ser atacados y de esa manera ir expandiendo su accionar.
Un articulo de ZDnet muestra el listado de los dispositivos / marcas que son atacados por este Malware y encontramos diferentes marcas conocidas como Ubiquiti, Realtek, Cámaras IP, etc.
Es importante tener actualizados los sistemas operativos y tomar las precauciones necesarias para evitar tener infecciones en nuestra red. Hay que tener en cuenta que ha ido creciendo notablemente la cantidad de dispositivos infectados a nivel mundial y sin las medidas de seguridad mínimas estamos predispuestos a ser atacados.
En el artículo mencionado explica con mas detalles como es el funcionamiento de Echobot.
Hace un par de días se ha hecho público que existe una vulnerabilidad en MikroTik RouterOS, la CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion).
Mientras se realizaba una investigación sobre dicha vulnerabilidad, se encontraron con un gran números de problemas en cómo RouterOS maneja los paquetes IPv6. De esto se desprende la CVE-2018-19299, la cual aún no ha sido publicado y que aún no está solucionada.
Marek, un investigador de seguridad, ha publicado en su cuenta de Twitter, que le ha comunicado a MikroTik sobre dicha vulnerabilidad hace más de 50 semanas y que aún no se tiene una solución al respecto.
…and sadly @mikrotik_com continue to stonewall me saying this remote unauthenticated denial of service is a “bug” not a “security vulnerability” — which is probably why they haven’t prioritised it for the last 50 weeks.
— Marek Isalski (marek@toot.host) (@maznu) 27 de marzo de 2019
El gran problema que existe, es que el 9 de abril se realizará la UKNOF43, un forum de operadores de redes del Reino Unido y en dicho evento Marek expondrá y publicará un gran número de vulnerabilidades con respecto a IPv6 y RouterOS, de hecho el título de su presentación es «Scanning IPv6 Address Space… and the remote vulnerabilities it uncovers«.
During some research which found CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion), I uncovered a larger problem with MikroTik RouterOS’s handling of IPv6 packets. This led to CVE-2018-19299, an unpublished and as yet unfixed (despite almost one year elapsing since vendor acknowledgement) vulnerability in RouterOS which allows for remote, unauthenticated denial of service. Unpublished… until UKNOF 43!
https://indico.uknof.org.uk/event/46/contributions/667/
Me comunique con uno de los técnicos que está investigando el tema (que es trainer de MikroTik) y me comentó que es un gran problema, porque con un solo paquete IPv6 malformado se puede atacar a cualquier RouterOS con el paquete IPv6 activo, y más aún si trabaja como router, porque al recibir el paquete malformado, lo reenvía (forward) y se reinicia (crashea), logrando un ataque en cadena.
Esto no es un ataque de DDoS porque no se requiere un gran volumen de tráfico, con sólo un paquete malformado es posible realizar un ataque en cadena, reiniciando todos los routers que se encuentran en el camino (MikroTik RouterOS con IPv6 activo).
Cómo mencione anteriormente, el descubridor de estas vulnerabilidades se ha comunicado con MikroTik hace más de 1 año y aún no ha tenido otra respuesta mas que «lo arreglaremos«. Han sido publicada más de veinte release de RouterOS desde que MikroTik tiene conocimiento del problema y no ha sido corregido.
La cuenta regresiva ha comenzado, porque el 9 de Abril se harán públicas las vulnerabilidades y, si no ha sido corregida, puede armar un desastre a nivel global.
Hay un hilo en el foro de MikroTik en donde los usuarios están comentando del tema y exigiendo a MikroTik que tome cartas en el asunto y publiqué una solución antes de la fecha límite.
Estaré publicando cualquier novedad al respecto. Esperemos que todo salga bien.
UKNOF presentation where this issue will be disclosed in full: https://indico.uknof.org.uk/event/46/contributions/667/
CVE report: https://cve.mitre.org/cgi-bin/cvename.c … 2018-19299
Durante este último mes se ha vivido una situación muy poco frecuente, por no decir que es la primera, en la que se tiene una gran actividad en relación a MikroTik RouterOS.
La popularidad que ha alcanzado ha hecho que se vuelva objetivo de ataques e ingeniería inversa para explotar algunas vulnerabilidades que se han descubierto durante este último tiempo.
El mayor problema de esta situación es que algunas de las vulnerabilidades permiten tener acceso al router directamente, ya que se pueden obtener las credenciales del router a través de un bug en el Winbox, por ejemplo.
Este inconveniente se agregó en la v6.29 y se soluciona en la v6.40.8. Hay que mencionar que la versión con el arreglo fue liberada a principios de año y ha sido explotada en estos últimos 2 meses.
En el día de ayer también hubo una publicación del RouterOS en sus diferentes ramas y en el changelog se mencionan arreglos de seguridad:
!) security – fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;
Estas vulnerabilidades CVE fueron reportadas por Tenable Inc. Según el reporte oficial de la empresa, las vulnerabilidades fueron reportadas a MikroTik el 25 de Mayo del 2018 y el 6 de Junio MikroTik le confirma la vulnerabilidad.
Acá va el timeline reportado por Tenable:
05-25-2018 - Tenable contacted Mikrotik support to find an appropriate security contact.
05-29-2018 - Tenable sent a follow up email to Mikrotik support.
05-29-2018 - Mikrotik responds that support is the appropriate contact.
05-29-2018 - Tenable asks for a public key.
05-29-2018 - Mikrotik provides a public key.
05-29-2018 - Tenable provides a write up and four proof of concepts.
05-31-2018 - Tenable asks Mikrotik if they were able to verify the vulnerabilities.
06-01-2018 - Mikrotik confirms they were able to reproduce the vulnerabilities.
06-19-2018 - Tenable inquires if any fixes went into a recent release (6.42.4).
07-25-2018 - Tenable asks for an update.
08-22-2018 - Mikrotik asks if Tenable allocated CVE ID for the vulnerabilities. Informs Tenable fixes were released in 6.40.9, 6.42.7, and 6.43.
08-22-2018 - Tenable provides CVE ID.
Cómo se puede observar, llevo un tiempo desde que se confirmó la vulnerabilidad hasta que se emitió el release con el arreglo.
Algo bueno, si se quiere ver, es que al no haber sido publica la información, no ha sido explotada.
Cómo comente anteriormente, el release fue liberado ayer y esperemos que los administradores de redes actualicen de manera expedita el sistema operativo para no sufrir ataques en un futuro.
Lo que la experiencia demuestra que es necesario estar actualizado con respecto a los cambios y arreglos que se producen en los sistemas operativos, ya que si no se actualizan, pueden ser explotado masivamente como la vulnerabilidad del Winbox, que llegó a infectar más de 200 mil routers sólo en Brasil.
Mas información en el blog de MikroTik y en el reporte oficial de Tenable.
Hace unos días salió a la luz una nueva vulnerabilidad en el RouterOS y entre los otros que se le han encontrado –son pocos por cierto– es uno de los mas críticos.
El problema viene por el lado del Winbox, que según el alerta de seguridad reportado oficialmente MikroTik, informa que se puede tener acceso a la base de datos de los usuarios del sistema a través de una vulnerabilidad del Winbox; asimismo se indica que el bug se incorporo en la v6.29 y resuelve en las ramas v6.40.8, v6.42.1, v6.43rc4.
En el mismo post oficial se indica que la vulnerabilidad ha sido descubierta por ellos (MikroTik); pero en el hilo de la conversación, un colega indica que fueron varios los usuarios que reportaron accesos a sus router de IP externas y que se mostraba en el log que se realizaban realizando cambios. Por ende alguien ya conocía esta vulnerabilidad y las estaba explotando, según reportes, desde el el 20 de Abril.
Según las capturas compartidas por dichos usuarios, se puede observar que el patrón de acceso es:
Cuando el atacante acceso al router deja 2 archivos en el files.
En el día de hoy, ya son varios los medios que se han hecho eco de esto y los reportes de las empresas de antivirus y seguridad empezaron a comentar de este 0-day.
Según el reporte de Alienvault, indica que el malware que afecta al MikroTik se instala vía Winbox y que luego ejecuta algunos scripts para instalar un malware en /tmp/.dnstest (el archivo binario mencionado anteriormente).
Los honeypots han detectado que el IP Origen del ataque es el 103.1.221.39 (asignada a Taiwan), que de hecho es el que los usuarios reportaron acceso.
Según un Investigador de seguridad de Kaspersky Lab indica:
New MikroTik zero day attack patched yesterday installs mips malware that appears related to Luabot, fetches next stage from two hardcoded C2s. pic.twitter.com/Kvyy4QYKVd
— Costin Raiu (@craiu) 25 de abril de 2018
También se indica que se intenta comunicar con varios dominios del estilo march10dom3[.]com, march10dom2[.]com, etc.
Es lo que se sabe hasta el momento, habrá que esperar que repercusión tiene. Tanto MikroTik como los principales consultores están aconsejando actualizar y cerrar el acceso del Winbox desde el mundo como medidas de protección básica.
Lo que están resaltando es el «relativamente» rápido accionar de MikroTik al liberar las diferentes versiones de las ramas con el arreglo de ésta vulnerabilidad a sólo un día del reporte, en comparación con otras marcas que suelen tardar semanas.
Es de esperar que, debido a la popularidad que ha tenido MikroTik en los últimos años, se haga mas interesante para los hackers y que sea motivo de intento de ataques y que se le intente encontrar vulnerabilidades. Es el mismo ciclo que han tenido otras empresas de networking, sólo que hay que estar a las alturas de las circunstancias, con ataques como el mencionado.
Veremos como continua esta novela en los próximos días.
Este es mi blog personal, para que sepas las cosas que pienso, hago y etc..
Grupo MKE SAS
MKE Solutions
