Durante la primer semana de noviembre se realizará en las oficinas de CABASE, el dictado de las certificaciones MTCNA y MTCRE; días previos al MikroTik User Meeting Argentina.
El MTCNA del 6 al 8 y el MTCRE del 12 al 13 de Noviembre.
Promoción Pronto Pago!. Últimos Cupos.
Mas información en Academia De Entrenamientos
En estos últimos meses se han producido diferentes tipo de ataques que se aprovechan de algunas vulnerabilidades del RouterOS y que están haciendo estragos a nivel seguridad.
Varios son los tipos de exploit / ataques que se tienen, de los más extendidos son los que se aprovechan del acceso al router para hacer minería. La forma de trabajar es redireccionando la navegación al webproxy interno del MikroTik y éste a su vez inyecte cierto código en la página web que «ordene» a nuestro dispositivo a realizar minería via Coinhive, Coinimp entre otros.
Un monitoreo de Bad Packets LLC utilizando datos de Shodan y Censys encontró que hay de más 250.000 routers MikroTik comprometidos.
Compromised #MikroTik routers found on @censysio (238,852) and @shodanhq (114,556).
— Bad Packets Report (@bad_packets) 26 de septiembre de 2018
Active #cryptojacking campaigns: 81
Coinhive: 59
WebMinePool: 6
CoinImp: 6
Crypto-Loot: 3
All others: 7
Spreadsheet with lookup URLs:https://t.co/iL8uVgPQJ7 pic.twitter.com/8pLad2wprY
Otra metodología que está empleando es la de engañar al usuario indicando que se tiene un navegador (browser) desactualizado y lo invita a descargar la actualización. Dicha descarga es un archivo ejecutable que compromete nuestra pc.
Al día de hoy (12 de Octubre) a través de las estadísticas de Censys hay alrededor de 11.000 routers MikroTik comprometidos con la página «fake» de descarga del actualizador del browser.
In other MikroTik news; 11,7k infected devices proxying to fake updates hosted on other infected Mikrotik-routers, installing malware through ftp, searching for more vulnerable MikroTik-routers. English and Russian campaign. Sample over at @anyrun_app https://t.co/zh2z6CkawY pic.twitter.com/w6ZUwuxBes
— Kira 2.0 (@VriesHd) 9 de octubre de 2018
Es increíble la cantidad de dispositivos que están desprotegidos y es por eso que un «hacker bueno» de Rusia está tomando cartas en el asunto y está realizando una campaña para proteger los routers que se encuentran comprometidos para evitar que se sigan atacando.
Según lo que ha comentado en la entrevista realizada por ZDNet, este amigo ha protegido cerca de 100.000 usuarios. Al momento de ingresarles les deja unas reglas de firewall indicando que «se han agregado reglas de protección para evitar el acceso externo y que si desea realizar algún comentario se comunique vía el canal de Telegram @router_os»; pero solamente se contactaron 50 personas.
Cómo hemos mencionado, este tipo de ataque se realiza explotando una vulnerabilidad que ha sido solucionada en MikroTik desde hace meses. El problema que se ha presentado y en el que se deberá trabajar para evitar algo similar en el futuro, es que empresas que venden routers o administradores que descuidan los mismos, no toman precaución de actualizar el sistema operativo de los dispositivos para evitar este tipo de ataque.
Se puede utilizar el sitio http://checkmyrouter.mkesolutions.net para conocer si nuestro router es vulnerable y es mandatorio actualizarle el sistema operativo.
Más información en BadPackets, Malwarebytes y RedesZone.
Durante este último mes se ha vivido una situación muy poco frecuente, por no decir que es la primera, en la que se tiene una gran actividad en relación a MikroTik RouterOS.
La popularidad que ha alcanzado ha hecho que se vuelva objetivo de ataques e ingeniería inversa para explotar algunas vulnerabilidades que se han descubierto durante este último tiempo.
El mayor problema de esta situación es que algunas de las vulnerabilidades permiten tener acceso al router directamente, ya que se pueden obtener las credenciales del router a través de un bug en el Winbox, por ejemplo.
Este inconveniente se agregó en la v6.29 y se soluciona en la v6.40.8. Hay que mencionar que la versión con el arreglo fue liberada a principios de año y ha sido explotada en estos últimos 2 meses.
En el día de ayer también hubo una publicación del RouterOS en sus diferentes ramas y en el changelog se mencionan arreglos de seguridad:
!) security – fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;
Estas vulnerabilidades CVE fueron reportadas por Tenable Inc. Según el reporte oficial de la empresa, las vulnerabilidades fueron reportadas a MikroTik el 25 de Mayo del 2018 y el 6 de Junio MikroTik le confirma la vulnerabilidad.
Acá va el timeline reportado por Tenable:
05-25-2018 - Tenable contacted Mikrotik support to find an appropriate security contact.
05-29-2018 - Tenable sent a follow up email to Mikrotik support.
05-29-2018 - Mikrotik responds that support is the appropriate contact.
05-29-2018 - Tenable asks for a public key.
05-29-2018 - Mikrotik provides a public key.
05-29-2018 - Tenable provides a write up and four proof of concepts.
05-31-2018 - Tenable asks Mikrotik if they were able to verify the vulnerabilities.
06-01-2018 - Mikrotik confirms they were able to reproduce the vulnerabilities.
06-19-2018 - Tenable inquires if any fixes went into a recent release (6.42.4).
07-25-2018 - Tenable asks for an update.
08-22-2018 - Mikrotik asks if Tenable allocated CVE ID for the vulnerabilities. Informs Tenable fixes were released in 6.40.9, 6.42.7, and 6.43.
08-22-2018 - Tenable provides CVE ID.
Cómo se puede observar, llevo un tiempo desde que se confirmó la vulnerabilidad hasta que se emitió el release con el arreglo.
Algo bueno, si se quiere ver, es que al no haber sido publica la información, no ha sido explotada.
Cómo comente anteriormente, el release fue liberado ayer y esperemos que los administradores de redes actualicen de manera expedita el sistema operativo para no sufrir ataques en un futuro.
Lo que la experiencia demuestra que es necesario estar actualizado con respecto a los cambios y arreglos que se producen en los sistemas operativos, ya que si no se actualizan, pueden ser explotado masivamente como la vulnerabilidad del Winbox, que llegó a infectar más de 200 mil routers sólo en Brasil.
Mas información en el blog de MikroTik y en el reporte oficial de Tenable.
Esta semana está siendo noticia el malware VPNFilter, el cual ha infectado mas de 500.000 dispositivos a nivel mundial.
En MKE Solutions se ha escrito un artículo al respecto, indicando que marcas infecta, cómo trabaja y cómo se soluciona en MikroTik RouterOS.
Según lo que se comenta por los pasillos es que el malware está programado para realizar un ciber ataque a nivel mundial para el sábado durante la final de la UEFA Champion League, que se jugará en Kiev.
Amén de todo lo que está sucediendo con las ultimas noticias de seguridad y malwares que han suscitado, la moraleja que nos está dejando es lo débil o poco que se le dedica a la seguridad a nivel general. La baja implementación de firewall para cerrar los equipos y el poco nivel de actualización de firmware que se tiene.
Lo importante de esto es siempre estar actualizado con las ultimas noticias y sobre todo capacitado para poder hacer frente a estos tipos de ataques / vulnerabilidad para evitar a su propagación y expansión.
Una excelente noticia para quienes utilizamos Fastnetmon, el sistema OpenSource que permite detectar ataques DDoS y que es compatible con muchas marcas de routers.
Sucede que ahora FastNetMon es parte de Ubuntu 18.04 LTS y al encontrarse en el repositorio oficial, es muy fácil su instalación en ésta distribución, tan solo hay que ejecutar: apt-get install -y fastnetmon
Hace un tiempo hable sobre él y explique su utilización; de hecho yo le programe y aporte al proyecto la integración de la herramienta con MikroTik para poder bloquear los ataques.
También hable de la herramienta en el MUM –MikroTik User Metting– de Guatemala en Enero del 2017, de como se utiliza, instala y se integra con RouterOS. Pueden ver el video en Youtube de la charla y la documentación en PDF que utilice.
Es una buena noticia para hacer más fácil la vida del administrador de redes, así que ya no hay excusas, a probar FastNetMon en vuestras redes.
En el reciente MikroTik User Meeting de México que se realizó a inicios de Abril, MKE Solutions se hizo presente en el evento y participo con 2 presentaciones, una en cada día del evento.
El primer día estuvo Mario Clep hablando de cómo aplicar BCP 38 y cómo evitar spoofing en la red.
El segundo día me toco a mi y estuve hablando de VRRP y sincronización de configuraciones entre MikroTik.
Se puede ver el listado completo de presentaciones, sus videos y PDF en el siguiente enlace.
Hace unos días salió a la luz una nueva vulnerabilidad en el RouterOS y entre los otros que se le han encontrado –son pocos por cierto– es uno de los mas críticos.
El problema viene por el lado del Winbox, que según el alerta de seguridad reportado oficialmente MikroTik, informa que se puede tener acceso a la base de datos de los usuarios del sistema a través de una vulnerabilidad del Winbox; asimismo se indica que el bug se incorporo en la v6.29 y resuelve en las ramas v6.40.8, v6.42.1, v6.43rc4.
En el mismo post oficial se indica que la vulnerabilidad ha sido descubierta por ellos (MikroTik); pero en el hilo de la conversación, un colega indica que fueron varios los usuarios que reportaron accesos a sus router de IP externas y que se mostraba en el log que se realizaban realizando cambios. Por ende alguien ya conocía esta vulnerabilidad y las estaba explotando, según reportes, desde el el 20 de Abril.
Según las capturas compartidas por dichos usuarios, se puede observar que el patrón de acceso es:
Cuando el atacante acceso al router deja 2 archivos en el files.
En el día de hoy, ya son varios los medios que se han hecho eco de esto y los reportes de las empresas de antivirus y seguridad empezaron a comentar de este 0-day.
Según el reporte de Alienvault, indica que el malware que afecta al MikroTik se instala vía Winbox y que luego ejecuta algunos scripts para instalar un malware en /tmp/.dnstest (el archivo binario mencionado anteriormente).
Los honeypots han detectado que el IP Origen del ataque es el 103.1.221.39 (asignada a Taiwan), que de hecho es el que los usuarios reportaron acceso.
Según un Investigador de seguridad de Kaspersky Lab indica:
New MikroTik zero day attack patched yesterday installs mips malware that appears related to Luabot, fetches next stage from two hardcoded C2s. pic.twitter.com/Kvyy4QYKVd
— Costin Raiu (@craiu) 25 de abril de 2018
También se indica que se intenta comunicar con varios dominios del estilo march10dom3[.]com, march10dom2[.]com, etc.
Es lo que se sabe hasta el momento, habrá que esperar que repercusión tiene. Tanto MikroTik como los principales consultores están aconsejando actualizar y cerrar el acceso del Winbox desde el mundo como medidas de protección básica.
Lo que están resaltando es el «relativamente» rápido accionar de MikroTik al liberar las diferentes versiones de las ramas con el arreglo de ésta vulnerabilidad a sólo un día del reporte, en comparación con otras marcas que suelen tardar semanas.
Es de esperar que, debido a la popularidad que ha tenido MikroTik en los últimos años, se haga mas interesante para los hackers y que sea motivo de intento de ataques y que se le intente encontrar vulnerabilidades. Es el mismo ciclo que han tenido otras empresas de networking, sólo que hay que estar a las alturas de las circunstancias, con ataques como el mencionado.
Veremos como continua esta novela en los próximos días.
Hace una par de semanas asistí al MikroTik User Meeting de Asunción del Paraguay que se realizó a finales de Julio.
Allí hable sobre como «Utilizar MikroTik RouterOS como IPS» utilizando varias herramientas de código abierto.
Una de ellas es Suricata y las otras son dos proyectos que he creado en GitHub que son:
IPS-MikroTik-Suricata: Módulo que se conecta a la DB del Suricata en búsqueda de ciertos patrones y al encontrarlo, agrega el IP Address atacante a un Router MikroTik vía API.
WebPanel-IPS-MikroTik-Suricata: Webpanel para administración del modulo conector.
La presentación la pueden descargar en PDF y el video puede ser visto desde el canal de Youtube de MikroTik.
El día 7 de Marzo Wikileaks publico una serie de documentos en donde menciona diferentes herramientas que fueron creadas por la CIA que permite acceder a diferentes sistemas operativos como Windows, MacOS, Linux Solaris, MikroTik RouterOS entre otros.
En el caso de MikroTik, la vulnerabilidad viene por el servicio HTTPD el cual permite al exploit «ChimayRed» que pueda inyectar código malicioso al RouterOS.
Hasta que Mikrotik brindó su comunicado oficial, lo que recomendaba era cerrar el puerto del servicio www, generalmente en el 80, con firewall para que solo pueda ser accedido de redes confiables.
Luego de un par de horas, MikroTik publico su versión oficial del hecho, en donde comenta que están investigando el caso y que con la información que puso a disponibilidad Wikileaks logro aplicar un arreglo para paliar la supuesta vulnerabilidad encontrada, -que por cierto según el informe de Wikileaks solo afecta a las versiones anteriores a la v6.30.2-, y dicho arreglo verifica y restaura la estructura interna de los archivos y fue aplicado en las versiones v6.38.5 y v6.37.5 con el siguiente fix:
*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;
La respuesta de MikroTik a la incidencia fue muy rápida en relación a otros vendors que si bien aún no han anunciado el arreglo, si han publicado diferentes documentos sobre sus investigaciones. El que me llamó la atención fue al nivel de detalle que brindo Cisco, en donde en su reporte informa que:
De acuerdo al análisis preliminar de acuerdo a los documentos publicados se tiene:
- El malware existe y parece afectar a diferentes tipos de dispositivos de Cisco, entre ellos routers y switches.
- El malware una vez instalado en el dispositivo Cisco, parece proveer un rango de funcionalidades como ser: data logging, data exfiltration, ejecutar comandos con privilegios administrativos y sin dejar ningún registro de dichos comandos ejecutados), html traffic redirection, manipulation and moficitation (insertar código html), DNS posoning, etc.
- Los autores parecen haber gastado una gran cantidad de tiempo asegurando que las herramientas, una vez instaladas, intenten mantenerse ocultas a la detección y análisis forenses.
- Los autores han gastado gran cantidad de recursos en la calidad de los testeos, ya que una vez instalado el malware no causan crash en el sistema.
Como se puede apreciar, uno de los principales objetivos de este «ataque de la CIA» fue Cisco y puede leerse en el Wikileaks relacionado.
Algunos usuarios de los foros indican que los tiempos de actualización y parche de Cisco ante este tipo de eventos suele ser tardía y que quienes tienen acceso a ellas a tiempo son principalmente los que tienen el soporte pago, a diferencia de MikroTik que ha publicado rápidamente para todo el mundo su parche.
En fin, son diferentes posturas subjetivas de los usuarios, lo cierto es que ha habido una movida general de los involucrados para tomar alguna medida correctiva a este malware que complica la seguridad de todo el mundo.
Ya quedó confirmado oficialmente, MKE Solutions ha certificado bajo Norma Internacional de Calidad ISO 9001:2015 su Soporte IT y los entrenamientos MikroTik y Ubiquiti.
Este anunció me llena de orgullo porque ha sido un gran logro conseguido y un objetivo alcanzado por parte de quienes hacemos MKE Solutions. Luego de casi 2 años de implementar un Sistema de Gestión de Calidad en la empresa, hemos conseguido certificarlo en ISO 9001.
Esto nos convierte en el primer y único Training Center del mundo en certificar sus entrenamientos bajo norma de calidad y nos enorgullece mucho.
Ha sido un logro del equipo que conformamos MKE Solutions, ya que cada uno aportó su granito de arena para poder llegar al objetivo.
Un nuevo hito logrado, un paso mas en el camino. Se hace camino al andar.
Este es mi blog personal, para que sepas las cosas que pienso, hago y etc..
Grupo MKE SAS
