MikroTik

iVentoy: Instalando ISO via PXE server

iVentoy es una herramienta muy útil, que permite hacer las instalaciones de sistemas operativos (formato ISO) a través de una red local vía PXE.

En el año 2013, durante los MUM (MikroTik User Meeting) de Ecuador y México realice una presentación titulada «Instalando sistemas operativos via red» y utilice MikroTik para ello. Configurando el DHCP-Server, unos archivos de configuración que se subían al file, permitía la instalación de cualquier ISO vía red.

Con iVentoy, ese escenario fue superado por lejos, ya que dispone de muchísimas funcionalidades para las instalaciones. Soporta más de 110+ ISOs de sistemas operativos Windows, Linux, etc). También soporta UEFI y modo Legacy.

La instalación es muy simple y se configura vía web de manera intuitiva y rápido. Puede ser ejecutado en una máquina virtual para hacer las instalaciones locales.

Aumento en la Potencia de Ataques DDoS y sus nuevas tácticas

Según un informe publicado por Help Net Security en el que realiza un reporte de los ataques DDoS y su poder durante el primer cuarto del año 2023, en el que se muestra la manera en que se han intensificado la potencia de los ataques y están implementando nuevas tácticas para realizar su cometido.

El Auge de la Potencia de Ataque:

El poder de los ataques DDoS ha alcanzado nuevos niveles, pasando de 600 a 800 Gbps. Estas cifras asombrosas evidencian una preocupante tendencia: los atacantes están empleando herramientas cada vez más potentes y sofisticadas para llevar a cabo sus ataques. Esta escalada en la fuerza de los ataques representa un desafío constante para las defensas y exige respuestas igualmente innovadoras.

Tipos de Ataque y Sectores Más Afectados:

El informe revela que los ataques de inundación UDP son los más comunes, representando el 52% del total, seguidos de cerca por los ataques SYN flood, que constituyen el 24%. En tercer lugar, se encuentran los ataques de flooding TCP. Estos hallazgos arrojan luz sobre las estrategias preferidas por los atacantes para sobrecargar los sistemas y crear caos.

Los sectores más afectados por estos ataques incluyen la industria de los videojuegos, las telecomunicaciones y el sector financiero.

Duración de los Ataques y Perspectivas Futuras:

Un dato sorprendente es la duración de algunos ataques, con el ataque más prolongado en el segundo y tercer trimestre, alcanzando la alarmante cifra de siete días, 16 horas y 22 minutos. Sin embargo, la mayoría de los ataques duraron menos de cuatro horas, lo que demuestra la eficacia de las medidas de respuesta y la resiliencia de muchas organizaciones.

El aumento anual del 50-100% en el volumen de ataques DDoS es una llamada de atención sobre la creciente sofisticación de los atacantes y su habilidad para aprovechar herramientas cada vez más poderosas. Esta tendencia subraya la necesidad urgente de invertir en soluciones de seguridad cibernética más robustas y adaptables.

A nivel personal, hemos podido hacerle frente a los ataques DDoS utilizando la herramienta Fastnetmon, la cual permite detectar y mitigar una gran cantidad de ataques.

Novedades sobre vulnerabilidad CVE-2023-32154 en MikroTik RouterOS

Hace unos días, MikroTik ha publicado un parche para una importante falla de seguridad en el RouterOS y ha confirmado que la vulnerabilidad fue explotada hace cinco meses en el concurso de piratería Pwn2Own Toronto.

En un aviso básico que documenta la falla CVE-2023-32154, MikroTik confirmó que el problema afecta a dispositivos que ejecutan las versiones v6.xx y v7.xx de MikroTik RouterOS con la funcionalidad de recepción de anuncios RA de IPv6 habilitada.

Según ZDI, los organizadores del evento de explotación de software Pwn2Own, la vulnerabilidad permite a los atacantes dentro de una red ejecutar código arbitrario en las instalaciones afectadas de RouterOS.

«La autenticación no es necesaria para explotar esta vulnerabilidad«, advirtió ZDI en un aviso.

«La falla específica se encuentra en el Demonio de Anuncios del router. El problema se produce debido a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root«, dijo la empresa.

Los organizadores de Pwn2Own decidieron hacer público un aviso antes de que estuvieran disponibles los parches, después de esperar cinco meses a que MikroTik reconociera y solucionara la falla de seguridad que ya había sido explotada.

ZDI dijo que informó del problema a MikroTik durante el evento en diciembre pasado y volvió a solicitar una actualización en mayo de este año, cinco meses después. El 10 de mayo, ZDI dijo que «volvió a divulgar el informe a petición del proveedor» y dio a la empresa una semana adicional para proporcionar soluciones.

En su respuesta, MikroTik dijo que no puede encontrar un registro de la divulgación de diciembre por parte de ZDI y que no estuvo presente en el evento de Toronto en diciembre para discutir la explotación.

Las fallas de seguridad en los routers MikroTik han aparecido en la lista de parches obligatorios de CISA y se han utilizado en el pasado para crear botnets maliciosas.

DETALLES ADICIONALES:

  • 09/12/22 – ZDI informó sobre la vulnerabilidad al proveedor durante Pwn2Own Toronto.
  • 09/05/23 – ZDI solicitó una actualización.
  • 10/05/23 – ZDI volvió a divulgar el informe a petición del proveedor.
  • 10/05/23 – ZDI informó al proveedor que el caso se publicará como un aviso de día cero el 17/05/23.
  • Mitigación: Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con la aplicación (desactivar el servicio).

CRONOGRAMA DE DIVULGACIÓN

  • 29/12/2022: Vulnerabilidad informada al proveedor.
  • 17/05/2023: Publicación coordinada del aviso.

Más información en Securityweek, zerodayinitiative

Estructura del archivo de licencia de MikroTik

En un proyecto (interno) que estoy haciendo, tuve la necesidad de validar licencias MikroTik.

Buscando por uno de mis lugares favoritos, GitHub, encuentro un repositorio que tiene algo interesante.

Una documentación super detallada y a un nivel que me supera sobre cómo esta formada la estructura de las licencias MikroTik RouterOS. Si bien no era lo que estaba necesitando, me pareció super interesante y paso a compartirlo.

El proyecto esta escrito en Python y permite validar la estructura de la licencia MikroTik realizando un análisis de la misma.

Acá se puede observar como inicia eliminando el pie y la cabecera de la licencia y empieza a analizando los primeros 4 caracteres y luego continua.

Seguir leyendo…

Nuevo servicio UTRS v2 de Cymru

Dentro de unos días se hará el lanzamiento oficial de la nueva versión v2 del servicio UTRS Unwanted Traffic Removal Service que ofrecen los amigos de Cymru.

El servicio de UTRS v1 permite la mitigación de los ataques DDoS. Funciona a través de una cooperación de mas de 900 redes conectadas entre los que hay proveedores de internet, servidores de hosting, etc que realizan intercambio de información vía BGP.

Se puede leer más sobre este servicio en el sitio oficial de Cymru.

En la próxima versión se tienen nuevas funcionalidades que serán de mucha utilidad para los participantes de la comunidad, entre algunos de ellos tenemos:

  • Soporte de IPv6
  • BGP Flow Spec (GENIAL!!!!)
  • Peerings entre routers redundantes
  • Se incrementa el tamaño del prefijo a /25 a IPv4 y /49 para IPv6
  • Se implementa la validación ROA

El 27 de Octubre será el lanzamiento oficial y seguramente habrá más información al respecto.

Con estos nuevos agregados hacen que el servicio de UTRS cada vez sea más valioso.

En la charla que di para CABASE hace unos meses sobre Fastnetmon, comenté como funciona este servicio de Cymru.

Fastnetmon: Mitigando ataques DDoS

Presentación de Maximiliano Dobladez para el Encuentro Nacional de Técnicos 2021, CABASE.

Qué son y cómo funcionan los ataques DDoS ?

Cómo se clasifican los ataques?, Qué medidas de protección se pueden tomar?.

Qué son las comunidades Blackhole ?

Qué es Fastnetmon y cómo funciona ?,

Cómo se integra con MikroTik ?

Todas estás preguntas son respondidas en ésta presentación

Actualización en Fastnetmon Community

Unas semanas atrás fue publicada una actualización del FastNeMon Community. La versión actual es la v1.1.7 Crawley.

En la lista de cambios que ha sido publicada en el repositorio oficial de Github se mencionan:

  • Multiples mejoras en el soporte de NetFlow v9 / IPFIX
  • Nuevo parser de packetes.
  • Se migró a C++ 11 en todas las plataformas.
  • Lista completa acá.

Hace un par de horas realicé un aporte al proyecto actualizando la librería del RouterOS API para que pueda conectarse con versiones de RouterOS mayores a la v6.45.1, la cual tuvo un cambio en la forma de autenticarse vía API.

La actualización puede ser vista en la sección del Plugin de MikroTik dentro del repositorio oficial del proyecto.

En la medida que tengo un tiempito disponible, estoy armando una presentación para poder organizar un webinar sobre Fastnetmon Community / Advanced, con sus diferencias, formas de implementarlo y la integración con FNM Manager, el panel administrador de Fastnetmon Advanced desarrollado por MKE Solutions.

Estaré anunciando con tiempo el día, horario y la plataforma que se transmitirá el streaming, que seguramente será el canal oficial de MKE Solutions en Youtube.

Echobot: Malware Mirai-like con un plus adicional.

En las últimas semanas me estoy dedicando a conocer cómo actúan los malwares, botnets entre otros ya que estoy desarrollando una aplicación de seguridad para empresas que ayuda a protegerse de dichos ataques.

La mayoría de los malware Mirai-like son bastante conocidos desde hacen años y sus ataques están orientado principalmente a IoT o similares (Televisores Smart, Teléfonos Inteligentes, Cámaras IP, etc).

Los malwares por si mismo no aportan nada nuevo al código fuente original de Mirai, lo cual no es una sorpresa porque el código se ha mantenido sin cambios durante años y se puede leer un poco mas sobre sus acciones en este enlace.

De acuerdo a las investigaciones de las principales empresas de seguridad han encontrado un nuevo malware llamado Echobot al que le han agregado unos módulos adicionales al código fuente original de Mirai.

De hecho cuando fue descubierto por primera vez (por Palo Alto Networks) a principio de Junio, Echobot explotaba unas 18 vulnerabilidades. Según el último informe de Akamai, una semana después, Echobot explotaba unas 26.

Echobot ademas de tener los viejos exploit (como los otros malwares), tiene un agregado adicional, la posibilidad de infectar a dispositivos y que éstos mismos se dediquen a encontrar nuevos host que puedan ser atacados y de esa manera ir expandiendo su accionar.

Un articulo de ZDnet muestra el listado de los dispositivos / marcas que son atacados por este Malware y encontramos diferentes marcas conocidas como Ubiquiti, Realtek, Cámaras IP, etc.

Es importante tener actualizados los sistemas operativos y tomar las precauciones necesarias para evitar tener infecciones en nuestra red. Hay que tener en cuenta que ha ido creciendo notablemente la cantidad de dispositivos infectados a nivel mundial y sin las medidas de seguridad mínimas estamos predispuestos a ser atacados.

En el artículo mencionado explica con mas detalles como es el funcionamiento de Echobot.

MKE Solutions partner oficial de Fastnetmon

Desde la semana pasada, MKE Solutions es oficialmente partner de FastNetMon, una solución especializada en detección de ataques DDoS.

La experiencia en la implementación de FastNetMon Advanced ha sido excelente, hemos podido aplicarlo a diferentes clientes con tamaños de redes de todas las escalas. Desde ISP con 100mbps hasta grandes proveedores con 80Gbps de capacidad.

A la solución ya la he presentado en varias ocaciones, de hecho hubo una charla que brinde en el MUM de Guatemala 2017 , en donde explico sus bondades (de la versión Community) y como se implementa con MikroTik RouterOS.

Para el caso de las ultimas implementaciones, lo estamos haciendo con la versión FastNetMon Advanced, ya que posee algunas características adicionales a la Community, como por ejemplo el soporte de IPv6, API entre otros.

Hemos creado un sitio especial para mostrar la solución FastNetmon y también el panel web (FNM Manager) que hemos desarrollado para poder administrarlo directamente via web, sin necesidad de cli.

En MKE Solutions estamos otorgando licencias trial de 30 días para implementar FastNetMon y poder probar su efectividad.

Impresionante rendimiento de RouterOS v7 y BGP

Se está viralizando un video creado por los amigos de TheBrothers WISP, en donde están probando la versión v7 de RouterOS, mas precisamente la v7.0beta99.

El video muestra un CCR 1016 en donde tiene peering con 6 peer BGP, en donde maneja mas de 3.5 millones de rutas y le lleva alrededor de 3 minutos procesarlas. Se puede apreciar el buen rendimiento del nuevo motor de BGP que está preparando MikroTik, con soporte multicore.

A medida que van cargando las rutas, la carga del CPU se reparte en los cores y aunque llegan al 100%, puede procesarlas sin inconvenientes.

Habrá que esperar que es lo que nos depara MikroTik en esta nueva versión de RouterOS v7, que al parecer, el unicornio (como le llaman a la v7) ya esta apareciendo y ya está dejando de verse algo lejano.