Un ataque a routers de Mikrotik afecta a usuarios españoles

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

MikroTik ha sido noticia hace poco debido a que routers desactualizados de la marca permitían cambiar su configuración para inyectar una copia del script de minería de criptomonedas Coinhive en el tráfico web de los usuarios. En total fueron más de 200.000 los routers afectados por la vulnerabilidad CVE-2018-14847, que permite a un atacante la lectura de archivos con información sensible, lo que posibilitaría un acceso a la gestión administrativa del dispositivo. Pues bien, investigadores de la empresa 360 NetLab han descubierto un nuevo ataque sobre routers MikroTik que aprovecha ese mismo exploit para robar el tráfico generado y enviarlo hacia servidores controlados por los atacantes.

Los investigadores detectaron que más de 370.000 de estos dispositivos eran vulnerables al exploit. De estos, alrededor de 239.000 poseían configurado un proxy socks4 de forma presumiblemente malintencionada. Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores de los atacantes, en concreto, el tráfico de los puertos FTP, SMTP, POP3 e IMAP, y también los puertos asociados con SNMP, el UDP 161 y 162.

Son muchos los países con dispositivos afectados. La mayor proporción se encuentra en Rusia, donde superan los 1.600. En España habría 84 dispositivos, según datos de 360 NetLab.

La vulnerabilidad fue parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema operativo de los routers afectados a la última versión disponible. Adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox, señala Hispasec.