CategoríaIPv6

Echobot: Malware Mirai-like con un plus adicional.

En las últimas semanas me estoy dedicando a conocer cómo actúan los malwares, botnets entre otros ya que estoy desarrollando una aplicación de seguridad para empresas que ayuda a protegerse de dichos ataques.

La mayoría de los malware Mirai-like son bastante conocidos desde hacen años y sus ataques están orientado principalmente a IoT o similares (Televisores Smart, Teléfonos Inteligentes, Cámaras IP, etc).

Los malwares por si mismo no aportan nada nuevo al código fuente original de Mirai, lo cual no es una sorpresa porque el código se ha mantenido sin cambios durante años y se puede leer un poco mas sobre sus acciones en este enlace.

De acuerdo a las investigaciones de las principales empresas de seguridad han encontrado un nuevo malware llamado Echobot al que le han agregado unos módulos adicionales al código fuente original de Mirai.

De hecho cuando fue descubierto por primera vez (por Palo Alto Networks) a principio de Junio, Echobot explotaba unas 18 vulnerabilidades. Según el último informe de Akamai, una semana después, Echobot explotaba unas 26.

Echobot ademas de tener los viejos exploit (como los otros malwares), tiene un agregado adicional, la posibilidad de infectar a dispositivos y que éstos mismos se dediquen a encontrar nuevos host que puedan ser atacados y de esa manera ir expandiendo su accionar.

Un articulo de ZDnet muestra el listado de los dispositivos / marcas que son atacados por este Malware y encontramos diferentes marcas conocidas como Ubiquiti, Realtek, Cámaras IP, etc.

Es importante tener actualizados los sistemas operativos y tomar las precauciones necesarias para evitar tener infecciones en nuestra red. Hay que tener en cuenta que ha ido creciendo notablemente la cantidad de dispositivos infectados a nivel mundial y sin las medidas de seguridad mínimas estamos predispuestos a ser atacados.

En el artículo mencionado explica con mas detalles como es el funcionamiento de Echobot.

MKE Solutions partner oficial de Fastnetmon

Desde la semana pasada, MKE Solutions es oficialmente partner de FastNetMon, una solución especializada en detección de ataques DDoS.

La experiencia en la implementación de FastNetMon Advanced ha sido excelente, hemos podido aplicarlo a diferentes clientes con tamaños de redes de todas las escalas. Desde ISP con 100mbps hasta grandes proveedores con 80Gbps de capacidad.

A la solución ya la he presentado en varias ocaciones, de hecho hubo una charla que brinde en el MUM de Guatemala 2017 , en donde explico sus bondades (de la versión Community) y como se implementa con MikroTik RouterOS.

Para el caso de las ultimas implementaciones, lo estamos haciendo con la versión FastNetMon Advanced, ya que posee algunas características adicionales a la Community, como por ejemplo el soporte de IPv6, API entre otros.

Hemos creado un sitio especial para mostrar la solución FastNetmon y también el panel web (FNM Manager) que hemos desarrollado para poder administrarlo directamente via web, sin necesidad de cli.

En MKE Solutions estamos otorgando licencias trial de 30 días para implementar FastNetMon y poder probar su efectividad.

Usas IPv6 con MikroTik RouterOS. Cuidado!

Hace un par de días se ha hecho público que existe una vulnerabilidad en MikroTik RouterOS, la CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion).

Mientras se realizaba una investigación sobre dicha vulnerabilidad, se encontraron con un gran números de problemas en cómo RouterOS maneja los paquetes IPv6. De esto se desprende la CVE-2018-19299, la cual aún no ha sido publicado y que aún no está solucionada.

Marek, un investigador de seguridad, ha publicado en su cuenta de Twitter, que le ha comunicado a MikroTik sobre dicha vulnerabilidad hace más de 50 semanas y que aún no se tiene una solución al respecto.

El gran problema que existe, es que el 9 de abril se realizará la UKNOF43, un forum de operadores de redes del Reino Unido y en dicho evento Marek expondrá y publicará un gran número de vulnerabilidades con respecto a IPv6 y RouterOS, de hecho el título de su presentación es «Scanning IPv6 Address Space… and the remote vulnerabilities it uncovers«.

During some research which found CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion), I uncovered a larger problem with MikroTik RouterOS’s handling of IPv6 packets. This led to CVE-2018-19299, an unpublished and as yet unfixed (despite almost one year elapsing since vendor acknowledgement) vulnerability in RouterOS which allows for remote, unauthenticated denial of service. Unpublished… until UKNOF 43!

https://indico.uknof.org.uk/event/46/contributions/667/

Me comunique con uno de los técnicos que está investigando el tema (que es trainer de MikroTik) y me comentó que es un gran problema, porque con un solo paquete IPv6 malformado se puede atacar a cualquier RouterOS con el paquete IPv6 activo, y más aún si trabaja como router, porque al recibir el paquete malformado, lo reenvía (forward) y se reinicia (crashea), logrando un ataque en cadena.

Esto no es un ataque de DDoS porque no se requiere un gran volumen de tráfico, con sólo un paquete malformado es posible realizar un ataque en cadena, reiniciando todos los routers que se encuentran en el camino (MikroTik RouterOS con IPv6 activo).

Cómo mencione anteriormente, el descubridor de estas vulnerabilidades se ha comunicado con MikroTik hace más de 1 año y aún no ha tenido otra respuesta mas que «lo arreglaremos«. Han sido publicada más de veinte release de RouterOS desde que MikroTik tiene conocimiento del problema y no ha sido corregido.

La cuenta regresiva ha comenzado, porque el 9 de Abril se harán públicas las vulnerabilidades y, si no ha sido corregida, puede armar un desastre a nivel global.

Hay un hilo en el foro de MikroTik en donde los usuarios están comentando del tema y exigiendo a MikroTik que tome cartas en el asunto y publiqué una solución antes de la fecha límite.

Estaré publicando cualquier novedad al respecto. Esperemos que todo salga bien.

UKNOF presentation where this issue will be disclosed in full: https://indico.uknof.org.uk/event/46/contributions/667/
CVE reporthttps://cve.mitre.org/cgi-bin/cvename.c … 2018-19299

Múltiples vulnerabilidades detectadas en MikroTik RouterOS

Durante este último mes se ha vivido una situación muy poco frecuente, por no decir que es la primera, en la que se tiene una gran actividad en relación a MikroTik RouterOS.

La popularidad que ha alcanzado ha hecho que se vuelva objetivo de ataques e ingeniería inversa para explotar algunas vulnerabilidades que se han descubierto durante este último tiempo.

El mayor problema de esta situación es que algunas de las vulnerabilidades permiten tener acceso al router directamente, ya que se pueden obtener las credenciales del router a través de un bug en el Winbox, por ejemplo.

Este inconveniente se agregó en la v6.29 y se soluciona en la v6.40.8. Hay que mencionar que la versión con el arreglo fue liberada a principios de año y ha sido explotada en estos últimos 2 meses.

En el día de ayer también hubo una publicación del RouterOS en sus diferentes ramas y en el changelog se mencionan arreglos de seguridad:

!) security – fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;

Estas vulnerabilidades CVE fueron reportadas por Tenable Inc. Según el reporte oficial de la empresa, las vulnerabilidades fueron reportadas a MikroTik el 25 de Mayo del 2018 y el 6 de Junio MikroTik le confirma la vulnerabilidad. 

Acá va el timeline reportado por Tenable:

05-25-2018 - Tenable contacted Mikrotik support to find an appropriate security contact.
05-29-2018 - Tenable sent a follow up email to Mikrotik support.
05-29-2018 - Mikrotik responds that support is the appropriate contact.
05-29-2018 - Tenable asks for a public key.
05-29-2018 - Mikrotik provides a public key.
05-29-2018 - Tenable provides a write up and four proof of concepts.
05-31-2018 - Tenable asks Mikrotik if they were able to verify the vulnerabilities.
06-01-2018 - Mikrotik confirms they were able to reproduce the vulnerabilities.
06-19-2018 - Tenable inquires if any fixes went into a recent release (6.42.4).
07-25-2018 - Tenable asks for an update.
08-22-2018 - Mikrotik asks if Tenable allocated CVE ID for the vulnerabilities. Informs Tenable fixes were released in 6.40.9, 6.42.7, and 6.43.
08-22-2018 - Tenable provides CVE ID.

Cómo se puede observar, llevo un tiempo desde que se confirmó la vulnerabilidad hasta que se emitió el release con el arreglo. 

Algo bueno, si se quiere ver, es que al no haber sido publica la información, no ha sido explotada.

Cómo comente anteriormente, el release fue liberado ayer y esperemos que los administradores de redes actualicen de manera expedita el sistema operativo para no sufrir ataques en un futuro.

Lo que la experiencia demuestra que es necesario estar actualizado con respecto a los cambios y arreglos que se producen en los sistemas operativos, ya que si no se actualizan, pueden ser explotado masivamente como la vulnerabilidad del Winbox, que llegó a infectar más de 200 mil routers sólo en Brasil.

Mas información en el blog de MikroTik y en el reporte oficial de Tenable.

MikroTik 0-day: Vulnerabilidad en Winbox, malware y seguridad.

Hace unos días salió a la luz una nueva vulnerabilidad en el RouterOS y entre los otros que se le han encontrado –son pocos por cierto– es uno de los mas críticos.

El problema viene por el lado del Winbox, que según el alerta de seguridad reportado oficialmente MikroTik, informa que se puede tener acceso a la base de datos de los usuarios del sistema a través de una vulnerabilidad del Winbox; asimismo se indica que el bug se incorporo en la v6.29 y resuelve en las ramas v6.40.8, v6.42.1, v6.43rc4.

En el mismo post oficial se indica que la vulnerabilidad ha sido descubierta por ellos (MikroTik); pero en el hilo de la conversación, un colega indica que fueron varios los usuarios que reportaron accesos a sus router de IP externas y que se mostraba en el log que se realizaban realizando cambios. Por ende alguien ya conocía esta vulnerabilidad y las estaba explotando, según reportes, desde el el 20 de Abril.

Según las capturas compartidas por dichos usuarios, se puede observar que el patrón de acceso es:

  • El atacante realiza una petición al Winbox con el usuario admin y cualquier password, el intento queda reportado en el log
  • Al parecer luego de realizado el paso anterior, el atacante se hace con la base de datos de sistema.
  • El siguiente intento es con un usuario con permisos full. El atacante tiene acceso al router y realiza unos cambios en ip > services

Cuando el atacante acceso al router deja 2 archivos en el files.

  1. dnstest: archivo binario (malware)
  2. save.sh: archivo de texto, con el siguiente contenido.

En el día de hoy, ya son varios los medios que se han hecho eco de esto y los reportes de las empresas de antivirus y seguridad empezaron a comentar de este 0-day.

Según el reporte de Alienvault, indica que el malware que afecta al MikroTik se instala vía Winbox y que luego ejecuta algunos scripts para instalar un malware en /tmp/.dnstest (el archivo binario mencionado anteriormente).

Los honeypots han detectado que el IP Origen del ataque es el 103.1.221.39 (asignada a Taiwan), que de hecho es el que los usuarios reportaron acceso.

Según un Investigador de seguridad de Kaspersky Lab indica:

También se indica que se intenta comunicar con varios dominios del estilo march10dom3[.]com, march10dom2[.]com, etc.

Es lo que se sabe hasta el momento, habrá que esperar que repercusión tiene. Tanto MikroTik como los principales consultores están aconsejando actualizar y cerrar el acceso del Winbox desde el mundo como medidas de protección básica.

Lo que están resaltando es el «relativamente» rápido accionar de MikroTik al liberar las diferentes versiones de las ramas con el arreglo de ésta vulnerabilidad a sólo un día del reporte, en comparación con otras marcas que suelen tardar semanas.

Es de esperar que, debido a la popularidad que ha tenido MikroTik en los últimos años, se haga mas interesante para los hackers y que sea motivo de intento de ataques y que se le intente encontrar vulnerabilidades. Es el mismo ciclo que han tenido otras empresas de networking, sólo que hay que estar a las alturas de las circunstancias, con ataques como el mencionado.

Veremos como continua esta novela en los próximos días.

 

Wikileaks, la CIA y la seguridad

El día 7 de Marzo Wikileaks publico una serie de documentos en donde menciona diferentes herramientas que fueron creadas por la CIA que permite acceder a diferentes sistemas operativos como Windows, MacOS, Linux Solaris, MikroTik RouterOS entre otros.

En el caso de MikroTik, la vulnerabilidad viene por el servicio HTTPD el cual permite al exploit «ChimayRed» que pueda inyectar código malicioso al RouterOS.

Hasta que Mikrotik brindó su comunicado oficial, lo que recomendaba era cerrar el puerto del servicio www, generalmente en el 80, con firewall para que solo pueda ser accedido de redes confiables.

Luego de un par de horas, MikroTik publico su versión oficial del hecho, en donde comenta que están investigando el caso y que con la información que puso a disponibilidad Wikileaks logro aplicar un arreglo para paliar la supuesta vulnerabilidad encontrada, -que por cierto según el informe de Wikileaks solo afecta a las versiones anteriores a la v6.30.2-, y dicho arreglo verifica y restaura la estructura interna de los archivos y fue aplicado en las versiones v6.38.5 y v6.37.5 con el siguiente fix:

*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;

La respuesta de MikroTik a la incidencia fue muy rápida en relación a otros vendors que si bien aún no han anunciado el arreglo, si han publicado diferentes documentos sobre sus investigaciones. El que me llamó la atención fue al nivel de detalle que brindo Cisco, en donde en su reporte informa que:

De acuerdo al análisis preliminar de acuerdo a los documentos publicados se tiene:

  • El malware existe y parece afectar a diferentes tipos de dispositivos de Cisco, entre ellos routers y switches.
  • El malware una vez instalado en el dispositivo Cisco, parece proveer un rango de funcionalidades como ser: data logging, data exfiltration, ejecutar comandos con privilegios administrativos y sin dejar ningún registro de dichos comandos ejecutados), html traffic redirection, manipulation and moficitation (insertar código html), DNS posoning, etc.
  • Los autores parecen haber gastado una gran cantidad de tiempo asegurando que las herramientas, una vez instaladas, intenten mantenerse ocultas a la detección y análisis forenses.
  • Los autores han gastado gran cantidad de recursos en la calidad de los testeos, ya que una vez instalado el malware no causan crash en el sistema.

Como se puede apreciar, uno de los principales objetivos de este «ataque de la CIA» fue Cisco y puede leerse en el Wikileaks relacionado.

Algunos usuarios de los foros indican que los tiempos de actualización y parche de Cisco ante este tipo de eventos suele ser tardía y que quienes tienen acceso a ellas a tiempo son principalmente los que tienen el soporte pago, a diferencia de MikroTik que ha publicado rápidamente para todo el mundo su parche.

En fin, son diferentes posturas subjetivas de los usuarios, lo cierto es que ha habido una movida general de los involucrados para tomar alguna medida correctiva a este malware que complica la seguridad de todo el mundo.

Bienvenido 2017…

Ya comenzó el 2017 y pasó mucho tiempo desde la última vez que escribí algo. Este inicio de año largo con todo, estuve por los MUMs de Guatemala y Bogotá durante la semana pasada y aún no logro ponerme al día.

Durante estos MUMs pude encontrarme con muchos amigos y conocidos «del palo»  y la pasamos muy bien. Pude conocer también gente de Bangladesh que no tiene nada que ver con el rubro y poder compartir un buen intercambio cultural.

Tuve la suerte de pasar el día de mi cumpleaños en el MUM de Guatemala y también tuve la suerte de ganarme un router de regalo en la rifa final del evento. La pase muy bien.

A nivel de proyectos tengo varios, uno de ellos es iniciar con los entrenamientos de IPv6. MikroTik ya tiene disponible desde hace unos meses atrás la certificación y uno de los objetivos es que en poco tiempo poder iniciar a impartir estas certificaciones.

Estoy trabajando también en una implementación de IPS para Suricata que permita trabajar con el MikroTik directamente. La idea es que haya un agente que este monitoreando las alertas del Suricata y en caso de detectar algún tipo de ataque en particular, poder bloquearlo al IP directamente desde el MikroTik.

La idea es tenerlo listo para la semana que viene y escribiré, si el tiempo lo permite, un post especial para que pueda ser implementado.

Espero este sea un post que haga el puntapié inicial para poder incorporar actividad a este blog.

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

Conociendo cual cache de Youtube nos atiende

Hace unos días me pasaron un enlace que desconocía hasta el momento, el cual es una herramienta proporcionada por Youtube en donde nos indica que cache de ellos nos esta atendiendo.

Solo ingresando nos indica el IP que tenemos, el rango público que esta asignado y cual cache nos esta atendiendo.

Estos son algunos de los ejemplos de respuestas que se pueden tener

2001:470:2b67:1:c404:9d3a:93f2:f102 => iad23s27 : router: "pr01.iad07" next_hop_address: "127.0.0.1" (2001:470:2b66::/47) [u]

186.137.26.78 => cablevision-eze10 (186.137.16.0/20)

200.123.249.22 => silica-eze1 (200.123.249.0/24)

200.114.99.22 => mia07s29 : router: "pr02.mia04" next_hop_address: "127.0.0.1" (200.114.96.0/22)

En algunos me indica que estoy yendo por el cache de Argentina  y en otro que estoy por USA.

Prueba por donde estas tu en el sitio http://redirector.c.youtube.com/report_mapping

Bloqueando WhatsApp con MikroTik

Son muchos los entornos en donde se necesita bloquear las redes sociales, ya sea por seguridad o para evitar el ocio.

WhatsApp es una de las aplicaciones que se suele bloquear y hay varias maneras para hacerla.

La primera de ellas es hacer una entrada estática de DNS para c.whatsapp.com que es la que se utiliza para conectarse, dicha entrada puede tener 127.0.0.1 por ej.

La otra opción es por firewall evitando que se conecten a las redes que utiliza whatapps, para ello tenemos el listado de IP oficiales de este sistema de mensajería, tanto en IPv4 como IPv6.

Para acceder a dicho listado de redes hay que ingresar en https://www.whatsapp.com/cidr.txt