TrickBot, explota vulnerabilidades de Mikrotik para usarlos como Command & Control

En relación a los Sistemas Operativos Mikrotik RouterOS, hemos detectado que en Chile hay más de 4.000 dispositivos que utilizan Mikrotik RouterOS, de los cuales gran parte están actualizados a versiones a las cuales no les afecta las vulnerabilidades detectadas (superiores a 6.45.6), sin embargo, aún se aprecian alrededor de 908 dispositivos que mantienen versiones vulnerables (6.45.6 e inferiores).

Respecto a los puertos críticos de dispositivos Mikrotik expuestos hacia internet en el territorio Nacional, se obtuvo siguiente detalle:

Recientes investigaciones informaron de una técnica utilizada por el malware TrickBot que implica el abuso de dispositivos de Internet de las cosas (IoT), para una vez comprometidos utilizarlos como intermediarios de comunicaciones para servidores de comando y control (C2) de las infraestructuras de ataque. La técnica antes mencionada no había sido descubierta previamente.

Los sistemas operativos Mikrotik RouterOS son utilizados por gran parte de las empresas a nivel mundial, y como es de amplio conocimiento, muchos de estos dispositivos poseen brechas de seguridad que permiten a ciber atacantes lograr un control total de estos.

La mayor parte de estas vulnerabilidades son antiguas y aún se encuentran presentes en muchas infraestructuras de comunicación, siendo utilizados principalmente por  ISP´s, empresas y organizaciones a nivel nacional, los que se encuentran actualmente con versiones vulnerables, como ya se había mencionado en este boletín.

Además, en diciembre del año pasado, se informó que cientos de miles de enrutadores MikroTik aún son vulnerables a las botnets de malware, varios años después de que el proveedor advirtiera sobre la existencia de fallas críticas.

Debido a que estos dispositivos cuentan con un hardware inusualmente poderoso, los actores maliciosos los consideran objetivos de alto valor, especialmente aquellos interesados ​​en operaciones que requieren muchos recursos, como los ataques DDoS .

Explotación de vulnerabilidades antiguas

Recientemente, una investigación realizada por Microsoft entregaría detalles de una nueva campaña llevada a cabo por operadores del malware TrickBot, donde se evidenció la utilización de una técnica que consiste en la explotación de una antigua vulnerabilidad aún presente en dispositivos Mikrotik.

La vulnerabilidad CVE-2018-14847, la cual permite a los atacantes no autenticados escribir o leer archivos arbitrarios, es explotada para obtener credenciales de acceso a los dispositivos para tomar el control de estos y posteriormente, configurarlos como C2 de sus infraestructuras de ataque.

Método de compromiso de dispositivos Mikrotik

Una vez consolidado el compromiso del dispositivo, los atacantes emiten un comando para traducción de direcciones de red (NAT), el que está diseñado para redirigir el tráfico entre los puertos 449 y 80, estableciendo una ruta para que los hosts infectados con TrickBot se comuniquen con el servidor C2.

Comando ingresado por los atacantes para redirigir tráfico

Por su parte, Microsoft ha lanzado una herramienta forense llamada 'routeros-scanner', para que los administradores de red puedan usarla para escanear los dispositivos MikroTik en busca de señales de que TrickBot esté presente y haya comprometido el equipo.

Trickbot y sus capacidades

También conocido como Trickster, TheTrick o TrickLoader, es una botnet que está activa desde finales de 2016, aunque en sus inicios esta amenaza contenía exclusivamente características de troyano, y era solamente utilizada para robar credenciales de acceso a cuentas bancarias en línea.

Hoy en día, se ha convertido en un malware multi propósito disponible para que otros actores maliciosos puedan distribuir su propio malware bajo el modelo de Malware-as-a-Service (MaaS) y llegar a ser incluso una de las botnets más prolíficas y populares, con más de un millón de detecciones en todo el mundo.

Algunas de las principales capacidades de Trickbot son: 

• Obtener información de equipos comprometidos.
• Robar de credenciales en navegadores
• Robar de credenciales del cliente Outlook
• Obtener credenciales de Windows
• Abusar de protocolos como SMB y LDAP para moverse lateralmente dentro de una red corporativa y descargar otro tipo de malware.

Esta amenaza suele distribuirse principalmente a través de correos de phishing dirigidos, utilizando como señuelo temas de actualidad o temáticas financieras (facturas, cobro de bonos, multas de tránsito impagas, entre otros).

Ejemplo de distribución de TrickBot

Panorama

Informado en un boletín de enero del presente año, el número de dispositivos Mikrotik que son utilizados en Chile considera un alto porcentaje de presencia en las redes de grandes empresas e ISP’s, los que al día aún mantienen versiones antiguas y vulnerables.

Desde la versión 3.30 hasta la versión 6.45.6, de acuerdo a los datos de la investigación realizada en el boletín de enero de 2022, se detectaron 83 versiones vulnerables, dentro de las cuales se observaron equipos activos y operando con estas versiones en Chile. Se debe tener presente que la primera versión de estos dispositivos (3.30) fue publicada en octubre del año 2011.

Aunque las actualizaciones de seguridad han estado disponibles durante años, muchas siguen siendo vulnerables al reclutamiento de botnets al explotar fallas de ejecución de código, acceso remoto y no autenticadas.

Por otro lado, el aumento de campañas de TrickBot para comprometer dispositivos personales, no disminuye en relación a lo observado en las últimas semanas, a pesar de haber sido desplazado por Emotet en volumen de actividad.

Considerando la cantidad de dispositivos presentes en Chile y además, el aumento de actividad de la botnet, existe una alta posibilidad de que parte de la infraestructura de ataque de TrickBot ya se encuentre desplegada en el país, teniendo presente que la técnica antes descrita ha sido revelada hace no más de 2 días y los operadores de la botnet constantemente se encuentran mejorando sus capacidades de ataque.

Vulnerabilidades asociadas

• CVE-2019-3979 (CVSS: 7.5)
  Las versiones de Mikrotik RouterOS 6.45.6 e inferiores, son vulnerables a un ataque en donde el router agrega todos los registros a su caché de DNS incluso cuando los registros no están relacionados con el dominio por el cual se consultó. Es por esto que, un servidor DNS controlado por un atacante remoto puede envenenar la caché de DNS del router a través de respuestas maliciosas con registros adicionales y falsos.
   
• CVE-2019-3978 ( CVSS: 7.5)
  Las versiones de Mikrotik RouterOS 6.45.6 e inferiores, permiten que atacantes remotos no autenticados activen consultas de DNS a través del puerto 8291. Las consultas se envían desde el router a un servidor de elección del atacante. Las respuestas de DNS son almacenadas en caché por el router, lo que puede resultar en un envenenamiento de la caché.
   
• CVE-2019-3977 ( CVSS: 7.5)
  Las versiones de Mikrotik RouterOS 6.45.6 e inferiores, son vulnerables a esta vulnerabilidad, en la cual se realiza una validación insuficiente de dónde se descargan los paquetes de actualización, cuando se utiliza la función de actualización automática. Por lo tanto, un atacante remoto puede engañar al router para que realice una actualización a una versión anterior de RouterOS y pueda restablecer todos los nombres de usuario y contraseñas del sistema.
   
• CVE-2019-3976 ( CVSS: 8.8)
  Las versiones de Mikrotik RouterOS 6.45.6 e inferiores, son vulnerables a una vulnerabilidad de creación de directorio arbitrario, a través del campo de nombre del paquete de actualización. Si un usuario autenticado instala un paquete malicioso, entonces se podría crear un directorio y se podría habilitar el shell del desarrollador.
   
• CVE-2018-14847 ( CVSS: 9.1)
  Mikrotik RouterOS a través de la versión 6.42 permite a atacantes remotos no autenticados leer archivos arbitrarios y a atacantes autenticados en forma remota escribir archivos arbitrarios, esto debido a una vulnerabilidad de cruce de directorio en la interfaz Winbox.
   
• CVE-2018-7445 ( CVSS: 9.8)
  Las versiones de Mikrotik RouterOS anteriores a la 6.41.3/6.42rc27 son vulnerables a esta vulnerabilidad de desbordamiento de búfer en el servicio SMB de MikroTik RouterOS, al procesar mensajes de solicitud de sesión NetBIOS. Los atacantes remotos con acceso al servicio pueden aprovechar esta vulnerabilidad y obtener la ejecución de código en el sistema. El desbordamiento se gatilla antes de que se lleve a cabo la autenticación, por lo que es posible que un atacante remoto no autenticado lo explote.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Actualice a MikroTik RouterOS versión 6.49.5 o superior estable.
• Además, desactive la interfaz de Winbox. Si debe usarlo, restrinja el acceso a direcciones IP específicas y nunca exponga el puerto 8291 a Internet.
• Finalmente, aunque no esté relacionado con esta vulnerabilidad, siempre desactivar el usuario administrador (admin) predeterminado.