Múltiples ataques a enrutadores Mikrotik explotando vulnerabilidades como ejecución remota de comandos y otros

Las vulnerabilidades identificadas como CVE-2019-3979, CVE-2019-3978, CVE-2019-3977, CVE-2019-3976 y CVE-2018-14847 están siendo explotadas en los enrutadores Mikrotik, viéndose afectados por malwares para la minería de criptomonedas, ataques de denegación de servicio distribuidos, restablecimiento de contraseña y ejecución remota de comandos.

Los sistemas operativos Mikrotik RouterOS son utilizados a gran escala en el ambiente corporativo y la explotación de estas vulnerabilidades podría permitir a un atacante de forma remota, sin autorización y con acceso al puerto 8291 (WinBox) del enrutador tomar el control total del dispositivo.

Múltiples ataques se realizan a través de la botnet Meris, que vulnera estos enrutadores para aumentar su capacidad de ataques de denegación de servicio distribuido. La principal vulnerabilidad explotada por Meris es WinBox (CVE-2018-1484), que permite escribir o leer archivos arbitrarios sin autenticación y así obtener las credenciales de los dispositivos para habilitar el acceso remoto (puertos 5678 y 2000) a sus servidores C&C.

Las versiones afectadas son las anteriores a la 6.45.6.

Se recomienda actualizar los routers MikroTik con el RouterOS, así como desactivar la interfaz de Winbox. En caso de ser necesario, restringir el acceso a direcciones IP específicas y no exponer el puerto 8291 a Internet. Finalmente se recomienda desactivar el usuario administrador (admin) predeterminado. Para descargar la última actualización ingresar en el siguiente enlace.

https://mikrotik.com/download

Para la actualización del router seguir las siguientes instrucciones:

Descargar la última actualizacion del firmware.
Ingresar en la opción System – Packages – Check for update.

Referencias: