IPv6

gcping: midiendo la latencia hacia Google Cloud

Una herramienta que encontré y que me parece muy útil es gcping, la cual permite medir la latencia hacia las diferentes regiones de Google Cloud.

Puede ser utilizada de manera web a través del sitio gcping.com. También a través de un ejecutable, el cual está escrito en Go y de código abierto, que está disponible su proyecto en GitHub. Este proyecto no es oficial de Google.

Novedades sobre vulnerabilidad CVE-2023-32154 en MikroTik RouterOS

Hace unos días, MikroTik ha publicado un parche para una importante falla de seguridad en el RouterOS y ha confirmado que la vulnerabilidad fue explotada hace cinco meses en el concurso de piratería Pwn2Own Toronto.

En un aviso básico que documenta la falla CVE-2023-32154, MikroTik confirmó que el problema afecta a dispositivos que ejecutan las versiones v6.xx y v7.xx de MikroTik RouterOS con la funcionalidad de recepción de anuncios RA de IPv6 habilitada.

Según ZDI, los organizadores del evento de explotación de software Pwn2Own, la vulnerabilidad permite a los atacantes dentro de una red ejecutar código arbitrario en las instalaciones afectadas de RouterOS.

«La autenticación no es necesaria para explotar esta vulnerabilidad«, advirtió ZDI en un aviso.

«La falla específica se encuentra en el Demonio de Anuncios del router. El problema se produce debido a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root«, dijo la empresa.

Los organizadores de Pwn2Own decidieron hacer público un aviso antes de que estuvieran disponibles los parches, después de esperar cinco meses a que MikroTik reconociera y solucionara la falla de seguridad que ya había sido explotada.

ZDI dijo que informó del problema a MikroTik durante el evento en diciembre pasado y volvió a solicitar una actualización en mayo de este año, cinco meses después. El 10 de mayo, ZDI dijo que «volvió a divulgar el informe a petición del proveedor» y dio a la empresa una semana adicional para proporcionar soluciones.

En su respuesta, MikroTik dijo que no puede encontrar un registro de la divulgación de diciembre por parte de ZDI y que no estuvo presente en el evento de Toronto en diciembre para discutir la explotación.

Las fallas de seguridad en los routers MikroTik han aparecido en la lista de parches obligatorios de CISA y se han utilizado en el pasado para crear botnets maliciosas.

DETALLES ADICIONALES:

  • 09/12/22 – ZDI informó sobre la vulnerabilidad al proveedor durante Pwn2Own Toronto.
  • 09/05/23 – ZDI solicitó una actualización.
  • 10/05/23 – ZDI volvió a divulgar el informe a petición del proveedor.
  • 10/05/23 – ZDI informó al proveedor que el caso se publicará como un aviso de día cero el 17/05/23.
  • Mitigación: Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con la aplicación (desactivar el servicio).

CRONOGRAMA DE DIVULGACIÓN

  • 29/12/2022: Vulnerabilidad informada al proveedor.
  • 17/05/2023: Publicación coordinada del aviso.

Más información en Securityweek, zerodayinitiative

Actualizaciones de GeoIP databases (legacy)

En uno de los proyectos que estoy trabajando tuve la necesidad de tener información sobre las direcciones IP y algunos ASN.

Yo ya tenía librerías en PHP que utilizaban GeoIP, pero las fuentes para actualizar las base de datos no cambiaron y se complicó su automatización.

Una herramienta que encontré, realiza la descarga de las bases de datos de IPv4 e IPv6. A su vez tiene un script que realiza la descarga y actualización automáticamente.

El enlace del sitio web es: https://mailfud.org/geoip-legacy/

Nuevo servicio UTRS v2 de Cymru

Dentro de unos días se hará el lanzamiento oficial de la nueva versión v2 del servicio UTRS Unwanted Traffic Removal Service que ofrecen los amigos de Cymru.

El servicio de UTRS v1 permite la mitigación de los ataques DDoS. Funciona a través de una cooperación de mas de 900 redes conectadas entre los que hay proveedores de internet, servidores de hosting, etc que realizan intercambio de información vía BGP.

Se puede leer más sobre este servicio en el sitio oficial de Cymru.

En la próxima versión se tienen nuevas funcionalidades que serán de mucha utilidad para los participantes de la comunidad, entre algunos de ellos tenemos:

  • Soporte de IPv6
  • BGP Flow Spec (GENIAL!!!!)
  • Peerings entre routers redundantes
  • Se incrementa el tamaño del prefijo a /25 a IPv4 y /49 para IPv6
  • Se implementa la validación ROA

El 27 de Octubre será el lanzamiento oficial y seguramente habrá más información al respecto.

Con estos nuevos agregados hacen que el servicio de UTRS cada vez sea más valioso.

En la charla que di para CABASE hace unos meses sobre Fastnetmon, comenté como funciona este servicio de Cymru.

Fastnetmon: Mitigando ataques DDoS

Presentación de Maximiliano Dobladez para el Encuentro Nacional de Técnicos 2021, CABASE.

Qué son y cómo funcionan los ataques DDoS ?

Cómo se clasifican los ataques?, Qué medidas de protección se pueden tomar?.

Qué son las comunidades Blackhole ?

Qué es Fastnetmon y cómo funciona ?,

Cómo se integra con MikroTik ?

Todas estás preguntas son respondidas en ésta presentación

Actualización en Fastnetmon Community

Unas semanas atrás fue publicada una actualización del FastNeMon Community. La versión actual es la v1.1.7 Crawley.

En la lista de cambios que ha sido publicada en el repositorio oficial de Github se mencionan:

  • Multiples mejoras en el soporte de NetFlow v9 / IPFIX
  • Nuevo parser de packetes.
  • Se migró a C++ 11 en todas las plataformas.
  • Lista completa acá.

Hace un par de horas realicé un aporte al proyecto actualizando la librería del RouterOS API para que pueda conectarse con versiones de RouterOS mayores a la v6.45.1, la cual tuvo un cambio en la forma de autenticarse vía API.

La actualización puede ser vista en la sección del Plugin de MikroTik dentro del repositorio oficial del proyecto.

En la medida que tengo un tiempito disponible, estoy armando una presentación para poder organizar un webinar sobre Fastnetmon Community / Advanced, con sus diferencias, formas de implementarlo y la integración con FNM Manager, el panel administrador de Fastnetmon Advanced desarrollado por MKE Solutions.

Estaré anunciando con tiempo el día, horario y la plataforma que se transmitirá el streaming, que seguramente será el canal oficial de MKE Solutions en Youtube.

Echobot: Malware Mirai-like con un plus adicional.

En las últimas semanas me estoy dedicando a conocer cómo actúan los malwares, botnets entre otros ya que estoy desarrollando una aplicación de seguridad para empresas que ayuda a protegerse de dichos ataques.

La mayoría de los malware Mirai-like son bastante conocidos desde hacen años y sus ataques están orientado principalmente a IoT o similares (Televisores Smart, Teléfonos Inteligentes, Cámaras IP, etc).

Los malwares por si mismo no aportan nada nuevo al código fuente original de Mirai, lo cual no es una sorpresa porque el código se ha mantenido sin cambios durante años y se puede leer un poco mas sobre sus acciones en este enlace.

De acuerdo a las investigaciones de las principales empresas de seguridad han encontrado un nuevo malware llamado Echobot al que le han agregado unos módulos adicionales al código fuente original de Mirai.

De hecho cuando fue descubierto por primera vez (por Palo Alto Networks) a principio de Junio, Echobot explotaba unas 18 vulnerabilidades. Según el último informe de Akamai, una semana después, Echobot explotaba unas 26.

Echobot ademas de tener los viejos exploit (como los otros malwares), tiene un agregado adicional, la posibilidad de infectar a dispositivos y que éstos mismos se dediquen a encontrar nuevos host que puedan ser atacados y de esa manera ir expandiendo su accionar.

Un articulo de ZDnet muestra el listado de los dispositivos / marcas que son atacados por este Malware y encontramos diferentes marcas conocidas como Ubiquiti, Realtek, Cámaras IP, etc.

Es importante tener actualizados los sistemas operativos y tomar las precauciones necesarias para evitar tener infecciones en nuestra red. Hay que tener en cuenta que ha ido creciendo notablemente la cantidad de dispositivos infectados a nivel mundial y sin las medidas de seguridad mínimas estamos predispuestos a ser atacados.

En el artículo mencionado explica con mas detalles como es el funcionamiento de Echobot.

MKE Solutions partner oficial de Fastnetmon

Desde la semana pasada, MKE Solutions es oficialmente partner de FastNetMon, una solución especializada en detección de ataques DDoS.

La experiencia en la implementación de FastNetMon Advanced ha sido excelente, hemos podido aplicarlo a diferentes clientes con tamaños de redes de todas las escalas. Desde ISP con 100mbps hasta grandes proveedores con 80Gbps de capacidad.

A la solución ya la he presentado en varias ocaciones, de hecho hubo una charla que brinde en el MUM de Guatemala 2017 , en donde explico sus bondades (de la versión Community) y como se implementa con MikroTik RouterOS.

Para el caso de las ultimas implementaciones, lo estamos haciendo con la versión FastNetMon Advanced, ya que posee algunas características adicionales a la Community, como por ejemplo el soporte de IPv6, API entre otros.

Hemos creado un sitio especial para mostrar la solución FastNetmon y también el panel web (FNM Manager) que hemos desarrollado para poder administrarlo directamente via web, sin necesidad de cli.

En MKE Solutions estamos otorgando licencias trial de 30 días para implementar FastNetMon y poder probar su efectividad.

Usas IPv6 con MikroTik RouterOS. Cuidado!

Hace un par de días se ha hecho público que existe una vulnerabilidad en MikroTik RouterOS, la CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion).

Mientras se realizaba una investigación sobre dicha vulnerabilidad, se encontraron con un gran números de problemas en cómo RouterOS maneja los paquetes IPv6. De esto se desprende la CVE-2018-19299, la cual aún no ha sido publicado y que aún no está solucionada.

Marek, un investigador de seguridad, ha publicado en su cuenta de Twitter, que le ha comunicado a MikroTik sobre dicha vulnerabilidad hace más de 50 semanas y que aún no se tiene una solución al respecto.

El gran problema que existe, es que el 9 de abril se realizará la UKNOF43, un forum de operadores de redes del Reino Unido y en dicho evento Marek expondrá y publicará un gran número de vulnerabilidades con respecto a IPv6 y RouterOS, de hecho el título de su presentación es «Scanning IPv6 Address Space… and the remote vulnerabilities it uncovers«.

During some research which found CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion), I uncovered a larger problem with MikroTik RouterOS’s handling of IPv6 packets. This led to CVE-2018-19299, an unpublished and as yet unfixed (despite almost one year elapsing since vendor acknowledgement) vulnerability in RouterOS which allows for remote, unauthenticated denial of service. Unpublished… until UKNOF 43!

https://indico.uknof.org.uk/event/46/contributions/667/

Me comunique con uno de los técnicos que está investigando el tema (que es trainer de MikroTik) y me comentó que es un gran problema, porque con un solo paquete IPv6 malformado se puede atacar a cualquier RouterOS con el paquete IPv6 activo, y más aún si trabaja como router, porque al recibir el paquete malformado, lo reenvía (forward) y se reinicia (crashea), logrando un ataque en cadena.

Esto no es un ataque de DDoS porque no se requiere un gran volumen de tráfico, con sólo un paquete malformado es posible realizar un ataque en cadena, reiniciando todos los routers que se encuentran en el camino (MikroTik RouterOS con IPv6 activo).

Cómo mencione anteriormente, el descubridor de estas vulnerabilidades se ha comunicado con MikroTik hace más de 1 año y aún no ha tenido otra respuesta mas que «lo arreglaremos«. Han sido publicada más de veinte release de RouterOS desde que MikroTik tiene conocimiento del problema y no ha sido corregido.

La cuenta regresiva ha comenzado, porque el 9 de Abril se harán públicas las vulnerabilidades y, si no ha sido corregida, puede armar un desastre a nivel global.

Hay un hilo en el foro de MikroTik en donde los usuarios están comentando del tema y exigiendo a MikroTik que tome cartas en el asunto y publiqué una solución antes de la fecha límite.

Estaré publicando cualquier novedad al respecto. Esperemos que todo salga bien.

UKNOF presentation where this issue will be disclosed in full: https://indico.uknof.org.uk/event/46/contributions/667/
CVE reporthttps://cve.mitre.org/cgi-bin/cvename.c … 2018-19299

Múltiples vulnerabilidades detectadas en MikroTik RouterOS

Durante este último mes se ha vivido una situación muy poco frecuente, por no decir que es la primera, en la que se tiene una gran actividad en relación a MikroTik RouterOS.

La popularidad que ha alcanzado ha hecho que se vuelva objetivo de ataques e ingeniería inversa para explotar algunas vulnerabilidades que se han descubierto durante este último tiempo.

El mayor problema de esta situación es que algunas de las vulnerabilidades permiten tener acceso al router directamente, ya que se pueden obtener las credenciales del router a través de un bug en el Winbox, por ejemplo.

Este inconveniente se agregó en la v6.29 y se soluciona en la v6.40.8. Hay que mencionar que la versión con el arreglo fue liberada a principios de año y ha sido explotada en estos últimos 2 meses.

En el día de ayer también hubo una publicación del RouterOS en sus diferentes ramas y en el changelog se mencionan arreglos de seguridad:

!) security – fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;

Estas vulnerabilidades CVE fueron reportadas por Tenable Inc. Según el reporte oficial de la empresa, las vulnerabilidades fueron reportadas a MikroTik el 25 de Mayo del 2018 y el 6 de Junio MikroTik le confirma la vulnerabilidad. 

Acá va el timeline reportado por Tenable:

05-25-2018 - Tenable contacted Mikrotik support to find an appropriate security contact.
05-29-2018 - Tenable sent a follow up email to Mikrotik support.
05-29-2018 - Mikrotik responds that support is the appropriate contact.
05-29-2018 - Tenable asks for a public key.
05-29-2018 - Mikrotik provides a public key.
05-29-2018 - Tenable provides a write up and four proof of concepts.
05-31-2018 - Tenable asks Mikrotik if they were able to verify the vulnerabilities.
06-01-2018 - Mikrotik confirms they were able to reproduce the vulnerabilities.
06-19-2018 - Tenable inquires if any fixes went into a recent release (6.42.4).
07-25-2018 - Tenable asks for an update.
08-22-2018 - Mikrotik asks if Tenable allocated CVE ID for the vulnerabilities. Informs Tenable fixes were released in 6.40.9, 6.42.7, and 6.43.
08-22-2018 - Tenable provides CVE ID.

Cómo se puede observar, llevo un tiempo desde que se confirmó la vulnerabilidad hasta que se emitió el release con el arreglo. 

Algo bueno, si se quiere ver, es que al no haber sido publica la información, no ha sido explotada.

Cómo comente anteriormente, el release fue liberado ayer y esperemos que los administradores de redes actualicen de manera expedita el sistema operativo para no sufrir ataques en un futuro.

Lo que la experiencia demuestra que es necesario estar actualizado con respecto a los cambios y arreglos que se producen en los sistemas operativos, ya que si no se actualizan, pueden ser explotado masivamente como la vulnerabilidad del Winbox, que llegó a infectar más de 200 mil routers sólo en Brasil.

Mas información en el blog de MikroTik y en el reporte oficial de Tenable.