Una nueva técnica de piratería se ha encontrado que afecta a los routers MikroTik y haciendo uso del error CVE-2018 a 14.847. Los nuevos resultados muestran que el error debe ser reasignado a un nivel crítico. Nuestro artículo da una visión general del problema.
CVE-2018-14847 MikroTik Routers vulnerabilidad escalado a Crítica
routers MikroTik están siendo ahora el principal objetivo de los hackers como previamente conocido fallo de seguridad se escaló a la “crítico” nivel. Esto se debe a una investigación recientemente publicado dar más detalles sobre un nuevo mecanismo que permite la piratería actores maliciosos para secuestrar estos dispositivos utilizando un nuevo enfoque.
El fallo en cuestión se realiza un seguimiento en el CVE-2018 a 14.847 de asesoramiento que se anunció a principios de este año y parcheado en abril. Cuando se informó primero el problema que impactó la aplicación Winbox que una aplicación administrativa y una interfaz de usuario para el sistema RouterOS utilizado por los dispositivos MikroTik.
La nueva investigación demuestra la seguridad de que la nueva técnica de ataque explota el mismo error, como resultado, los operadores malintencionados pueden ejecutar código de forma remota sin ser autenticado en el sistema. El código de prueba de concepto demuestra que los operadores maliciosos pueden adquirir de forma remota al intérprete de comandos en los dispositivos, así como el bypass las reglas de cortafuegos. Esto les da la capacidad de introducirse en las redes internas e incluso el malware planta sin ser detectado.
La causa de este problema es un problema en el archivo de directorio utilizado por el software Winbox que permite a atacantes remotos leer los archivos sin ser autenticado. No sólo esto, sino la táctica recién descubierto también permite a los hackers para escribir en el fichero. Esto es posible mediante la activación de un desbordamiento de búfer que puede permitir el acceso a las credenciales almacenadas utilizadas para acceder al menú restringido. La nueva técnica de ataque sigue este proceso de dos etapas mediante la adquisición de primera información acerca de los dispositivos de destino y luego la explotación de las credenciales en acceder a ellos.
La vulnerabilidad CVE-2018-1484 fue parcheado por MikroTik en agosto sin embargo, un nuevo análisis revela que sólo el 30% de todos los routers se han parcheado. Esto deja a miles de routers vulnerables tanto a la cuestión más viejo y el recientemente anunciado. Este es un caso muy peligroso como agentes maliciosos pueden utilizar las firmas de los routers MikroTik y descubrir fácilmente los dispositivos de destino. Una búsqueda de ejemplo muestra que muchos de ellos se encuentran en los siguientes países: India, Federación de Rusia, China, Brasil e Indonesia.
El nuevo método de ataque en este momento está siendo explotada mediante campañas de ataque contra severl dispositivos sin parches. Tras el descubrimiento MikroTik emitió un parche corrige todas las vulnerabilidades conocidos comprendidos en el aviso CVE-2018-1484. Todos los propietarios de dispositivos se insta a actualizar sus equipos a la última versión del sistema RouterOS.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: