A principios del mes de agosto, se supo que casi 200.000 routers MikroTik formaron parte de una botnet, y fueron utilizados para minar criptomoneda debido a un grave fallo de seguridad que fue descubierto. Ahora, unos investigadores de la empresa Qihoo 360 Netlab han descubierto casi 400.000 routers potencialmente vulnerables a este fallo, e incluso han descubierto que más de 7.500 se han visto comprometidos para reenviar el tráfico de sus usuarios a los ciberdelincuentes. ¿Quieres saber todos los detalles sobre esta vulnerabilidad?
Debido a este fallo de seguridad todo tu tráfico es reenviado a los atacantes
La vulnerabilidad ya descubierta en el pasado tiene el código CVE-2018-14847, con el nombre de “Winbox Any Directory File Read”. La herramienta con la que se puede explotar esta vulnerabilidad fue revelada por Wikileaks y su nombre es CIA Vault 7, además, también se reveló otra vulnerabilidad de ejecución de código remoto gracias al Webfig de MikroTik.
170.000 routers MikroTik convertidos en una botnet y utilizados para minar criptomonedas por un fallo 0-day
170.000 routers MikroTik convertidos en una botnet y utilizados para minar criptomonedas por un fallo 0-day
Tanto Winbox como Webfig son dos componentes de la administración de RouterOS, el sistema operativo que incorporan todos y cada uno de los routers de MikroTik. Los puertos que abre son el 80, 8080 y 8291 todos ellos utilizando el protocolo de la capa de tras*porte TCP. Debemos recordar que Winbox está específicamente diseñado para que los usuarios de Windows configuren fácilmente sus routers, descargando archivos DLL y ejecutándolos.
Los investigadores de seguridad chinos de Qihoo 360 Netlab, han descubierto más de 370.000 routers MikroTik potencialmente vulnerables, pero lo más grave, es que más de 7.500 dispositivos se han visto comprometidos para permitir utilizarlos como proxy malicioso SOCKS4, lo que significa que los atacantes (ciberdelincuentes) pueden “escuchar” todo el tráfico de red de los diferentes clientes. Los investigadores han descubierto que este tráfico es revelado a los atacantes desde mediados de julio, es decir, desde hace más de un mes y medio pueden estar interviniendo todas las comunicaciones de los routers afectados.
Según estos investigadores de seguridad, más de 370.000 routers de los 1.2 millones iniciales, siguen siendo vulnerables al exploit CVE-2018-14847, incluso después de que el fabricante lanzara una actualización urgente de seguridad para corregirlo.