El nuevo exploit para la vulnerabilidad WinBox de MikroTik Routers.

router

Tenable Research mediante un investigador de seguridad cibernética, lanzó un nuevo ataque RCE de prueba de concepto para una vulnerabilidad ya conocida de cruce de directorios que se detectó y reparó un día después de su descubrimiento en abril de este año.

La vulnerabilidad, identificada como CVE-2018-14847, se catalogo inicialmente como de gravedad media, pero ahora, después de lo realizado por Tenable debería considerarse crítica, ya que la nueva técnica utilizada contra los enrutadores MikroTik vulnerables permite que los atacantes ejecuten código de forma remota en dispositivos afectados y así obtener una shell de root.

Esta vulnerabilidad afecta a Winbox, el cual es un componente de administración para que los administradores configuren los routers mediante una interfaz basada en la Web, y una aplicación GUI de Windows para el software RouterOS utilizado por los dispositivos MikroTik. Adicionalmente la vulnerabilidad permite a los "atacantes remotos omitir la autenticación y leer archivos arbitrarios modificando una solicitud para cambiar un byte relacionado con una ID de sesión".

El nuevo ataque convirtió la vulnerabilidad de MikroTik de 'media' a 'crítica'

El nuevo método de ataque encontrado por Tenable Research explota la misma vulnerabilidad y lo lleva a un paso adelante.

Una vulnerabilidad de PoC, llamada "By the Way", lanzada por Tenable Research, Jacob Baines, primero utiliza la vulnerabilidad de cruce de directorios para robar las credenciales de inicio de sesión del administrador del archivo de la base de datos del usuario y luego escribe otro archivo en el sistema para obtener acceso remoto al shell root.  En otras palabras, la nueva vulnerabilidad podría permitir a los atacantes no autorizados piratear el sistema RouterOS de MikroTik, desplegar cargas de malware o pasar por alto las protecciones de firewall del enrutador.

La técnica es otro golpe de seguridad contra los enrutadores MikroTik, que previamente fue atacado por el malware VPNFilter y se utilizó en una extensa campaña de cryptojacking descubierta hace unos meses.

Nuevas vulnerabilidades del router MikroTik

Además de esto, Tenable Research también reveló vulnerabilidades adicionales de MikroTik RouterOS, que incluyen:

• CVE-2018-1156: un defecto de desbordamiento del búfer de pila que podría permitir una ejecución remota de código autenticado, permitiendo a los atacantes obtener acceso total al sistema y acceso a cualquier sistema interno que use el enrutador.
• CVE-2018-1157: un defecto de agotamiento de la memoria de carga de archivos que permite a un atacante remoto autenticado bloquear el servidor HTTP.
• CVE-2018-1159: un defecto de corrupción de memoria de www que podría bloquear el servidor HTTP al autenticarse y desconectarse rápidamente.
• CVE-2018-1158: un problema de agotamiento de la pila de análisis recursivo que podría bloquear el servidor HTTP mediante el análisis recursivo de JSON.

Tenable Research informó los problemas a MikroTik en mayo, y la compañía abordó las vulnerabilidades al lanzar sus versiones RouterOS 6.40.9, 6.42.7 y 6.43 en agosto.

Si bien todas las vulnerabilidades fueron parcheadas hace más de un mes, un análisis reciente de Tenable Research reveló que el 70 por ciento de los enrutadores (lo que equivale a 200,000) aún son vulnerables a los ataques.

La conclusión: si tiene un enrutador MikroTik y no ha actualizado su RouterOS, debe hacerlo ahora mismo. Además, si todavía está utilizando las credenciales predeterminadas en su enrutador, es hora de cambiar la contraseña predeterminada y mantener una contraseña única, larga y compleja.

Síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila