Los sistemas MikroTik RouterOS, ampliamente utilizados por su versatilidad en la gestión de redes, han sido objeto de una vulnerabilidad crítica que permite la escalada de privilegios. Esta vulnerabilidad, identificada como CVE-2023-30799, otorga a atacantes remotos y autenticados la capacidad de pasar de un nivel de administrador a superadministrador, obteniendo así un shell raíz en el router. El puntaje base CVSS de 9.1 subraya la gravedad de esta falla de seguridad.
Detalles de la Vulnerabilidad CVE-2023-30799
La vulnerabilidad se manifiesta en las interfaces Winbox y HTTP de MikroTik RouterOS. Un atacante puede explotarla para ejecutar código arbitrario en el sistema, comprometiendo gravemente la integridad y seguridad de los dispositivos afectados. La situación se agrava por la relativa facilidad con la que se pueden adquirir credenciales para acceder a estos sistemas. Históricamente, RouterOS se suministraba con una cuenta de usuario predeterminada "admin" con una contraseña vacía, y muchas organizaciones no han eliminado esta configuración, a pesar de las recomendaciones de MikroTik.
MikroTik era consciente de este problema desde al menos octubre de 2021. Sin embargo, la publicación del identificador CVE y el parche para la versión de soporte a largo plazo (Long-term) de RouterOS no se realizó hasta el 20 de julio, probablemente debido a que el fallo no representaba un riesgo inmediato en el mundo real hasta ese momento. Investigadores de seguridad revelaron la vulnerabilidad y un exploit asociado, denominado "FOISTed", en junio de 2022.
Contexto Histórico y Amenazas Previas en Dispositivos MikroTik
Los dispositivos MikroTik han sido un objetivo recurrente para atacantes avanzados durante mucho tiempo, debido a que proporcionan un acceso potente a las redes protegidas. Grupos de amenazas como TrickBot, VPNFilter y el grupo de amenazas persistentes avanzadas Slingshot han dirigido ataques a estos dispositivos. Además, los dispositivos MikroTik han estado involucrados en la creación de ataques de Denegación de Servicio Distribuido (DDoS) de gran escala, como la botnet Mēris.
La detección de actividades maliciosas en estos dispositivos es particularmente difícil. Las interfaces web y Winbox de RouterOS implementan esquemas de cifrado personalizados que herramientas de seguridad estándar como Snort o Suricata no pueden descifrar e inspeccionar fácilmente.
Seguridad en Mikrotik AVANZADO - GRATIS - en 5 minutos... - Firewall
La Spamhaus XBL: Bloqueo de Direcciones IP Maliciosas
En otro orden de ideas, la eXploits Blocklist (XBL) es una lista de bloqueo mantenida por Spamhaus, una organización global dedicada a combatir el spam y otras amenazas en Internet. La XBL se enfoca en identificar y bloquear direcciones IP asociadas con actividades maliciosas, como el envío de spam, la participación en botnets o la explotación de vulnerabilidades.
Causas Comunes de Inclusión en la XBL
- Aumento del Internet de las Cosas (IoT): Se ha observado un incremento significativo en el escaneo proveniente de dispositivos IoT, lo que indica un crecimiento en las botnets maliciosas que buscan expandir su número de dispositivos comprometidos. Variantes de malware como Satori, similar a Mirai, han estado atacando routers específicos, como los Huawei Home Gateway.
- Takedown de la Botnet Andromeda: La operación de desmantelamiento de la botnet Andromeda (también conocida como Gamarue) el 29 de noviembre de 2017 resultó en la toma de control de su red de Comando y Control (C&C). Esto ha llevado a un aumento drástico en el número de entradas en la XBL.
- Sistemas Comprometidos: La presencia de sistemas infectados que son utilizados para lanzar ataques o distribuir malware es una causa principal para ser listado en la XBL.
Verificación y Prevención de Bloqueos en la XBL
Aparecer en la XBL puede afectar negativamente la reputación de una dirección IP y los servicios asociados. Para evitar ser bloqueado, se recomienda:
- Mantener el Sistema Actualizado: Asegurarse de que todo el software, incluyendo el sistema operativo de los routers y cualquier otro servicio de red, esté actualizado con los últimos parches de seguridad.
- Realizar Auditorías de Seguridad Periódicas: Evaluar regularmente la seguridad de la red para identificar y corregir posibles vulnerabilidades.
- Configurar Adecuadamente los Servicios de Red: Implementar configuraciones seguras para todos los servicios de red, deshabilitando aquellos que no sean necesarios.
- Proteger las Cuentas de Correo Electrónico: Utilizar contraseñas fuertes y autenticación de dos factores para proteger las cuentas de correo electrónico, que a menudo son un punto de entrada para ataques.
- Monitorear el Tráfico Saliente: Vigilar el tráfico de red saliente para detectar patrones anómalos que puedan indicar un compromiso del sistema.
Mitigación y Recomendaciones
MikroTik ha publicado soluciones para las versiones afectadas de RouterOS, y es crucial que los administradores apliquen estas actualizaciones rápidamente. Se recomienda encarecidamente:
- Actualizar RouterOS: Migrar a las últimas versiones de MikroTik RouterOS en todos los dispositivos afectados. Se sugiere considerar versiones superiores a la 7.x.
- Deshabilitar Interfaces No Esenciales: Desactivar las interfaces Winbox y web si no son estrictamente necesarias.
- Revisar Configuraciones de Cuentas: Eliminar las cuentas de usuario predeterminadas y fortalecer las contraseñas. Idealmente, migrar hacia soluciones sin contraseñas donde sea posible.
La adopción de estas medidas preventivas es fundamental para salvaguardar la infraestructura de red contra las crecientes amenazas de seguridad.
tags: #mikrotik #vulnerabilidad #spamhouse #xbl