En estos últimos meses se han producido diferentes tipo de ataques que se aprovechan de algunas vulnerabilidades del RouterOS y que están haciendo estragos a nivel seguridad.
Varios son los tipos de exploit / ataques que se tienen, de los más extendidos son los que se aprovechan del acceso al router para hacer minería. La forma de trabajar es redireccionando la navegación al webproxy interno del MikroTik y éste a su vez inyecte cierto código en la página web que «ordene» a nuestro dispositivo a realizar minería via Coinhive, Coinimp entre otros.
Un monitoreo de Bad Packets LLC utilizando datos de Shodan y Censys encontró que hay de más 250.000 routers MikroTik comprometidos.
Compromised #MikroTik routers found on @censysio (238,852) and @shodanhq (114,556).
— Bad Packets Report (@bad_packets) 26 de septiembre de 2018
Active #cryptojacking campaigns: 81
Coinhive: 59
WebMinePool: 6
CoinImp: 6
Crypto-Loot: 3
All others: 7
Spreadsheet with lookup URLs:https://t.co/iL8uVgPQJ7 pic.twitter.com/8pLad2wprY
Otra metodología que está empleando es la de engañar al usuario indicando que se tiene un navegador (browser) desactualizado y lo invita a descargar la actualización. Dicha descarga es un archivo ejecutable que compromete nuestra pc.
Al día de hoy (12 de Octubre) a través de las estadísticas de Censys hay alrededor de 11.000 routers MikroTik comprometidos con la página «fake» de descarga del actualizador del browser.
In other MikroTik news; 11,7k infected devices proxying to fake updates hosted on other infected Mikrotik-routers, installing malware through ftp, searching for more vulnerable MikroTik-routers. English and Russian campaign. Sample over at @anyrun_app https://t.co/zh2z6CkawY pic.twitter.com/w6ZUwuxBes
— Kira 2.0 (@VriesHd) 9 de octubre de 2018
Es increíble la cantidad de dispositivos que están desprotegidos y es por eso que un «hacker bueno» de Rusia está tomando cartas en el asunto y está realizando una campaña para proteger los routers que se encuentran comprometidos para evitar que se sigan atacando.
Según lo que ha comentado en la entrevista realizada por ZDNet, este amigo ha protegido cerca de 100.000 usuarios. Al momento de ingresarles les deja unas reglas de firewall indicando que «se han agregado reglas de protección para evitar el acceso externo y que si desea realizar algún comentario se comunique vía el canal de Telegram @router_os»; pero solamente se contactaron 50 personas.
Cómo hemos mencionado, este tipo de ataque se realiza explotando una vulnerabilidad que ha sido solucionada en MikroTik desde hace meses. El problema que se ha presentado y en el que se deberá trabajar para evitar algo similar en el futuro, es que empresas que venden routers o administradores que descuidan los mismos, no toman precaución de actualizar el sistema operativo de los dispositivos para evitar este tipo de ataque.
Se puede utilizar el sitio http://checkmyrouter.mkesolutions.net para conocer si nuestro router es vulnerable y es mandatorio actualizarle el sistema operativo.
Más información en BadPackets, Malwarebytes y RedesZone.