Mikrotik Winbox server vulnerability

Hace unos meses recibía llamadas de algunos clientes preocupados debido a que sus empresas proveedoras de servicios de internet y de Voz los llamaban advirtiéndoles que sus equipos Mikrotik fueron comprometidos y que era necesario que revisen sus redes internas ante algún comportamiento “raro”.

Así fue como comenzó todo, luego googleando un poco se encontraban muchas notificas referentes a que millones de estos routers fueron comprometidos para ser usados en campanas de “cryptojacking” es decir usaban los equipo para minar crytomendas, sin embargo como siempre todo fue la punta del iceberg.

Buscando el vector del ataque se reportaba que descubrió que servicio Winbox cuenta con una vulnerabilidad que permite a eludir la autenticación y leer archivos al modificar una solicitud para cambiar un byte relacionado con una ID de sesión, lo cual suena a mas de los mismo, fallas en el control de recepción de variables en determinados servicios, el cual fue catalogado como CVE-2018-14847

Valga las verdades el fabricante reporto la vulnerabilidad a fines de marzo de 2018 sin embargo siempre existe un tiempo en que los atacantes elaboran los programas para sacarle provecho a este tipo de vulnerabilidad y por supuesto nadie actualiza 😀 es por ello recién a mediados de agosto se desato el caos en las implementaciones que usaban esto equipos con la aparición de los exploits.

Para los que me conocen saben que Mikrotik no es de mis equipos preferidos, esto es debido a que lo venden como “Firewall de perímetro” es decir proteger a una red empresarial, cuando el equipo no es mas que un router, sabiendo que hoy para proteger una empresa necesita mas que abrir o cerrar puertos o un proxy básico en su mínima expresión como es el que maneja el RouterOS, sin embargo es evidente que el factor costo es importante comparado con equipos UTM, sumado al desconocimiento de los clientes ante integradores oportunistas.

Entonces sin mas, les comparto el procedimiento y el vídeo para hacer el P.O.C. de esta vulnerabilidad sobre Kali Linux

Espero les sirva!!

Saludos
Juan Oliva

 

 

 

Anuncios