Un ataque a routers de Mikrotik afecta a usuarios españoles
- Vulnerabilidades
El ataque aprovecha la misma vulnerabilidad usada en una reciente campaña masiva de cryptojacking para robar el tráfico generado en los routers y desviarlo a servidores de los atacantes. En total hay 7.500 dispositivos afectados, 84 de ellos en España.
También puedes leer... |
MikroTik ha sido noticia hace poco debido a que routers desactualizados de la marca permitían cambiar su configuración para inyectar una copia del script de minería de criptomonedas Coinhive en el tráfico web de los usuarios. En total fueron más de 200.000 los routers afectados por la vulnerabilidad CVE-2018-14847, que permite a un atacante la lectura de archivos con información sensible, lo que posibilitaría un acceso a la gestión administrativa del dispositivo. Pues bien, investigadores de la empresa 360 NetLab han descubierto un nuevo ataque sobre routers MikroTik que aprovecha ese mismo exploit para robar el tráfico generado y enviarlo hacia servidores controlados por los atacantes.
Los investigadores detectaron que más de 370.000 de estos dispositivos eran vulnerables al exploit. De estos, alrededor de 239.000 poseían configurado un proxy socks4 de forma presumiblemente malintencionada. Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores de los atacantes, en concreto, el tráfico de los puertos FTP, SMTP, POP3 e IMAP, y también los puertos asociados con SNMP, el UDP 161 y 162.
Son muchos los países con dispositivos afectados. La mayor proporción se encuentra en Rusia, donde superan los 1.600. En España habría 84 dispositivos, según datos de 360 NetLab.
Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.
La vulnerabilidad fue parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema operativo de los routers afectados a la última versión disponible. Adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox, señala Hispasec.