Atacantes toman control de routers MikroTik para espiar el tráfico de redes de sus usuarios

Se ha descubierto una vulnerabilidad en routers MikroTik que ha dejado expuestos a ataques de hackers a casi 240.000 dispositivos en todo el mundo. Los ciberatacantes ya están explotando esta vulnerabilidad para espiar las comunicaciones que se transfieren mediante estos dispositivos.

Los investigadores de Netlab han descubierto 7.500 dispositivos infectados en decenas de países, incluyendo Rusia, Irán, Brasil y Estados Unidos. Por ahora no parece que se esté atacando a ninguna región en particular pero la amenaza de expansión está vigente, ya que los atacantes activaron el mismo protocolo para transferir el tráfico de datos, o protocolo SOCKS4, en 239.000 routers MikroTik.

Los expertos de Netlab no están seguros de la razón por la que los atacantes están haciendo un trabajo tan arduo para conseguir datos de este protocolo, que es muy poco utilizado por los usuarios. “Es difícil comprender lo que los atacantes están haciendo con tantos proxis SOCKS4, pero creemos que podría ser algo significativo”, dice el informe de Netlab.

“También notamos que los puertos 161 y 162 de SNMP son los más usados. Esto da lugar a algunas interrogantes, como ¿por qué los atacantes están prestando atención a un protocolo de administración de redes que los usuarios regulares casi no utilizan? ¿Están tratando de vigilar y capturar algunas de las cadenas de caracteres comunitarias de redes SNMP de usuarios especiales?

Los atacantes están recolectando datos de Protocolo de Transferencia de Archivos (FTP) y tráfico de mensajes y correos electrónicos mediante SMTP, POP3 e IMAP. “Para que el ataque mantenga el control del dispositivo aun después de reiniciar el dispositivo y cambiar la dirección IP, el dispositivo se configura para ejecutar una tarea programada que informa sobre la última ubicación de su IP accediendo a una URL definida por el atacante”, explicó Netlab. “De esta manera, el atacante continúa buscando más dispositivos MikroTik RouterOS con estos proxy Socks4 comprometidos”.

Los ataques se llevan a cabo explotando una vulnerabilidad en el programa RouterOS del dispositivo, diseñado para facilitar el acceso de forma remota a los administradores. La vulnerabilidad en cuestión es conocida como CVE-2018-14847 y ya había sido descubierta y explotada en ataques que intentaban usar el dispositivo para minar monedas virtuales. MikroTik lanzó un parche para esta vulnerabilidad en abril, pero se calcula que unos 370.000 dispositivos aún no han instalado las actualizaciones.

Por lo tanto, la principal recomendación de seguridad para protegerse de esta amenaza es asegurarse de tener el router actualizado. Los dueños del router también pueden desactivar los proxy SOCKS en el dispositivo, aunque esta operación es un poco más compleja porque implica acceder a las líneas de comando de la interfaz del dispositivo.

Fuentes
Mikrotik routers pwned en masse, send network data to mysterious box • The Register
Hacker Using MikroTik Routers to Eavesdrop on Internet Traffic • PC Magazine
Thousands of MikroTik Routers Hacked to Eavesdrop On Network Traffic • The Hacker News