En relación a los Sistemas Operativos Mikrotik RouterOS, hemos detectado que en Chile hay más de 4.000 dispositivos que utilizan Mikrotik RouterOS, de los cuales gran parte están actualizados a versiones a las cuales no les afecta las vulnerabilidades detectadas (superiores a 6.45.6), sin embargo, aún se aprecian alrededor de 908 dispositivos que mantienen versiones vulnerables (6.45.6 e inferiores).
Respecto a los puertos críticos de dispositivos Mikrotik expuestos hacia internet en el territorio Nacional, se obtuvo siguiente detalle:
Recientes investigaciones informaron de una técnica utilizada por el malware TrickBot que implica el abuso de dispositivos de Internet de las cosas (IoT), para una vez comprometidos utilizarlos como intermediarios de comunicaciones para servidores de comando y control (C2) de las infraestructuras de ataque. La técnica antes mencionada no había sido descubierta previamente.
Los sistemas operativos Mikrotik RouterOS son utilizados por gran parte de las empresas a nivel mundial, y como es de amplio conocimiento, muchos de estos dispositivos poseen brechas de seguridad que permiten a ciber atacantes lograr un control total de estos.
La mayor parte de estas vulnerabilidades son antiguas y aún se encuentran presentes en muchas infraestructuras de comunicación, siendo utilizados principalmente por ISP´s, empresas y organizaciones a nivel nacional, los que se encuentran actualmente con versiones vulnerables, como ya se había mencionado en este boletín.
Además, en diciembre del año pasado, se informó que cientos de miles de enrutadores MikroTik aún son vulnerables a las botnets de malware, varios años después de que el proveedor advirtiera sobre la existencia de fallas críticas.
Debido a que estos dispositivos cuentan con un hardware inusualmente poderoso, los actores maliciosos los consideran objetivos de alto valor, especialmente aquellos interesados en operaciones que requieren muchos recursos, como los ataques DDoS .
Explotación de vulnerabilidades antiguas
Recientemente, una investigación realizada por Microsoft entregaría detalles de una nueva campaña llevada a cabo por operadores del malware TrickBot, donde se evidenció la utilización de una técnica que consiste en la explotación de una antigua vulnerabilidad aún presente en dispositivos Mikrotik.
La vulnerabilidad CVE-2018-14847, la cual permite a los atacantes no autenticados escribir o leer archivos arbitrarios, es explotada para obtener credenciales de acceso a los dispositivos para tomar el control de estos y posteriormente, configurarlos como C2 de sus infraestructuras de ataque.
Método de compromiso de dispositivos Mikrotik
Una vez consolidado el compromiso del dispositivo, los atacantes emiten un comando para traducción de direcciones de red (NAT), el que está diseñado para redirigir el tráfico entre los puertos 449 y 80, estableciendo una ruta para que los hosts infectados con TrickBot se comuniquen con el servidor C2.
Comando ingresado por los atacantes para redirigir tráfico
Por su parte, Microsoft ha lanzado una herramienta forense llamada 'routeros-scanner', para que los administradores de red puedan usarla para escanear los dispositivos MikroTik en busca de señales de que TrickBot esté presente y haya comprometido el equipo.
Trickbot y sus capacidades
También conocido como Trickster, TheTrick o TrickLoader, es una botnet que está activa desde finales de 2016, aunque en sus inicios esta amenaza contenía exclusivamente características de troyano, y era solamente utilizada para robar credenciales de acceso a cuentas bancarias en línea.
Hoy en día, se ha convertido en un malware multi propósito disponible para que otros actores maliciosos puedan distribuir su propio malware bajo el modelo de Malware-as-a-Service (MaaS) y llegar a ser incluso una de las botnets más prolíficas y populares, con más de un millón de detecciones en todo el mundo.
Algunas de las principales capacidades de Trickbot son:
Esta amenaza suele distribuirse principalmente a través de correos de phishing dirigidos, utilizando como señuelo temas de actualidad o temáticas financieras (facturas, cobro de bonos, multas de tránsito impagas, entre otros).
Ejemplo de distribución de TrickBot
Panorama
Informado en un boletín de enero del presente año, el número de dispositivos Mikrotik que son utilizados en Chile considera un alto porcentaje de presencia en las redes de grandes empresas e ISP’s, los que al día aún mantienen versiones antiguas y vulnerables.
Desde la versión 3.30 hasta la versión 6.45.6, de acuerdo a los datos de la investigación realizada en el boletín de enero de 2022, se detectaron 83 versiones vulnerables, dentro de las cuales se observaron equipos activos y operando con estas versiones en Chile. Se debe tener presente que la primera versión de estos dispositivos (3.30) fue publicada en octubre del año 2011.
Aunque las actualizaciones de seguridad han estado disponibles durante años, muchas siguen siendo vulnerables al reclutamiento de botnets al explotar fallas de ejecución de código, acceso remoto y no autenticadas.
Por otro lado, el aumento de campañas de TrickBot para comprometer dispositivos personales, no disminuye en relación a lo observado en las últimas semanas, a pesar de haber sido desplazado por Emotet en volumen de actividad.
Considerando la cantidad de dispositivos presentes en Chile y además, el aumento de actividad de la botnet, existe una alta posibilidad de que parte de la infraestructura de ataque de TrickBot ya se encuentre desplegada en el país, teniendo presente que la técnica antes descrita ha sido revelada hace no más de 2 días y los operadores de la botnet constantemente se encuentran mejorando sus capacidades de ataque.
Vulnerabilidades asociadas
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Mikrotik RouterOS |
6.45.6 y anteriores. |