domingo, 5 de agosto de 2018

200 mil routers MikroTik infectados para minar Criptomonedas

Un grupo de investigadores de seguridad de SpiderLabs ha encontrado en la red una nueva botnet, formada por más de 170.000 routers MikroTik, que inyecta una serie de scripts de Coinhive para minar criptomonedas utilizando los ordenadores y dispositivos de los usuarios conectados a estos routers, lo que se conoce como Criptojacking .Según estos investigadores de seguridad, esta botnet se inició, en  unos 72.000 routers en Brasil, aunque en muy poco tiempo empezó a infectar dispositivos de todo el mundo hasta superar la cifra de los 170.000 routers MikroTik comprometidos, cifra que, además, sigue creciendo. MikroTik RouterOS es vulnerable en el puerto Winbox en las versiones RouterOS desde la 6.29 (release date: 2015/28/05) hasta 6.42 (release date 2018/04/20)





Campaña masiva de Criptojacking a más de 200.000 routers Mikrotik

Investigadores de seguridad de Trustwave han descubierto una campaña masiva que tiene como objetivo a routers Mikrotik, en los cuales cambian su configuración para inyectar una copia del minero Coinhive en algunas partes del trafico web de los usuarios.

El primero en avistar los ataques ha sido un investigador brasileño que corresponde al nombre de MalwareHunterBR en Twitter, pero la campaña se expandía de forma rápida infectando más routers cada vez, la cual llamó la atención de Simon Kenin, un investigador de seguridad de la división SpiderLabs de la empresa Trustwave.

Kenin dijo que el atacante está usando un 0-Day en el componente Winbox de los routers Mikrotik que se descubrió en abril. Mikrotik parcheo este exploit en menos de un día (RouterOS v6.42.1 y v6.43rc4), pero esto no quiere decir que la mayoría de propietarios de dichos routers hayan aplicado el parche.

Sin embargo, el 0-Day fue diseccionado por varios investigadores de seguridad, y múltiples pruebas de concepto públicas han aparecido en GitHub [1, 2] para versiones 6.29 (2015/28/05) a 6.42 (2018/04/20). El binario mproxy es el afectado.

De acuerdo con Kenin, el atacante ha usado uno de esos PoC para alterar el tráfico que pasaba por los routers Mikrotik e inyectan una copia del minero Coinhive dentro de todas las páginas servidas por el propio router.





Una sencilla búsqueda en Shodan nos revela que hay sobre 1.7 millones de routers Mikrotik disponibles online.

Tiempo después, se ha descubierto que una segunda clave de Coinhive estaba siendo inyectada en el tráfico de los routers Mikrotik. Esta segunda campaña ha afectado alrededor de 25.000 routers, (billetera oDcuakJy9iKIQhnaZRpy9tEsYiF2PUx4) llevando el total de routers infectados a 200.000, ya que la primera clave está siendo usada en 175.000 routers infectados (billetera hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3). No se sabe a ciencia cierta si esta segunda campaña está siendo llevada a cabo por otro cracker, o por el mismo autor de la primera clave después de que Trustwave expusiera su primera operación.

Muy pocos usuarios actualizan el firmware del router


Según un informe, solo un 14% de los encuestados han actualizado alguna vez el firmware de su router. Además, un 82% nunca ha cambiado la contraseña de acceso al router, la que viene de forma predeterminada de fábrica. Si hablamos de la contraseña del Wi-Fi, algo que a priori sí preocupa algo más a los usuarios, únicamente el 31% de los encuestados había cambiado en alguna ocasión la que venía de fábrica. Y solo un 30% entró alguna vez en el panel de control para ver qué dispositivos hay conectados.



Medidas de seguridad básicas en un router

Se recomienda:
  • Deshabilitar la administración remota (Disable Remote Administration). La administración remota suele estar deshabilitada por defecto.
  • Cambiar las contraseñas por defecto (acceso al router, Wifi, etc)
  • Desactivar servicios que no utilicemos (especialmente servicios accesibles remotamente desde WAN (Internet)
  • Utilizar el último firmware disponible (o al menos no usar versiones vulnerables)

Fuentes:
https://www.redeszone.net/2018/08/02/routers-mikrotik-botnet-minar-monedas/
https://blog.segu-info.com.ar/2018/08/campana-masiva-de-criptojacking-mas-de.html

1 comentario:

  1. Hola,

    En el documento https://n0p.me/winbox-bug-dissection/
    se indica que la vulnerabilidad del puerto Winbox que aprovecha la infección se resolvió en las versiones 6.42.1 y 6.43rc4 del 23 de abril de 2018.

    Destaco que ambas versiones pertenecen a dos ramas de desarrollo diferentes: la estándar y la RC (release candidate). Lo comento porque el rango de versiones indicado en el primer párrafo puede llevar a confusión.

    Así pues, actualizando a una versión de software igual o superior a la 6.42.1 o a la 6.43rc4 (dependiendo de la rama utilizada) el router queda protegido.

    Un saludo.

    ResponderEliminar