Durante este último mes se ha vivido una situación muy poco frecuente, por no decir que es la primera, en la que se tiene una gran actividad en relación a MikroTik RouterOS.
La popularidad que ha alcanzado ha hecho que se vuelva objetivo de ataques e ingeniería inversa para explotar algunas vulnerabilidades que se han descubierto durante este último tiempo.
El mayor problema de esta situación es que algunas de las vulnerabilidades permiten tener acceso al router directamente, ya que se pueden obtener las credenciales del router a través de un bug en el Winbox, por ejemplo.
Este inconveniente se agregó en la v6.29 y se soluciona en la v6.40.8. Hay que mencionar que la versión con el arreglo fue liberada a principios de año y ha sido explotada en estos últimos 2 meses.
En el día de ayer también hubo una publicación del RouterOS en sus diferentes ramas y en el changelog se mencionan arreglos de seguridad:
!) security – fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;
Estas vulnerabilidades CVE fueron reportadas por Tenable Inc. Según el reporte oficial de la empresa, las vulnerabilidades fueron reportadas a MikroTik el 25 de Mayo del 2018 y el 6 de Junio MikroTik le confirma la vulnerabilidad.
Acá va el timeline reportado por Tenable:
05-25-2018 - Tenable contacted Mikrotik support to find an appropriate security contact.
05-29-2018 - Tenable sent a follow up email to Mikrotik support.
05-29-2018 - Mikrotik responds that support is the appropriate contact.
05-29-2018 - Tenable asks for a public key.
05-29-2018 - Mikrotik provides a public key.
05-29-2018 - Tenable provides a write up and four proof of concepts.
05-31-2018 - Tenable asks Mikrotik if they were able to verify the vulnerabilities.
06-01-2018 - Mikrotik confirms they were able to reproduce the vulnerabilities.
06-19-2018 - Tenable inquires if any fixes went into a recent release (6.42.4).
07-25-2018 - Tenable asks for an update.
08-22-2018 - Mikrotik asks if Tenable allocated CVE ID for the vulnerabilities. Informs Tenable fixes were released in 6.40.9, 6.42.7, and 6.43.
08-22-2018 - Tenable provides CVE ID.
Cómo se puede observar, llevo un tiempo desde que se confirmó la vulnerabilidad hasta que se emitió el release con el arreglo.
Algo bueno, si se quiere ver, es que al no haber sido publica la información, no ha sido explotada.
Cómo comente anteriormente, el release fue liberado ayer y esperemos que los administradores de redes actualicen de manera expedita el sistema operativo para no sufrir ataques en un futuro.
Lo que la experiencia demuestra que es necesario estar actualizado con respecto a los cambios y arreglos que se producen en los sistemas operativos, ya que si no se actualizan, pueden ser explotado masivamente como la vulnerabilidad del Winbox, que llegó a infectar más de 200 mil routers sólo en Brasil.
Mas información en el blog de MikroTik y en el reporte oficial de Tenable.
Buena info, generalmente no tenemos acceso a detalles y está bueno para tomar consciencia y dimensión del trabajo que toma solucionar vulnerabilidades de seguridad.
Saludos Maxi!