Decenas de miles de enrutadores MikroTik y Ubiquiti desconfigurados disponibles en línea
Decenas de miles de enrutadores MikroTik y Ubiquiti están actualmente disponibles en línea, con nombres de host alarmistas como "HACKED FTP server", "HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED" o "HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD ".
En realidad, estos dispositivos no han sido pirateados, simplemente desconfigurados, y parecen ser objeto de alguna broma de acciones de vigilantes.
Los atacantes no se apoderan de los dispositivos, sino que simplemente cambian los nombres de los dispositivos (nombres de host), como una advertencia para los propietarios de los dispositivos, con la esperanza de que los usuarios actúen y aseguren sus enrutadores.
Las alteraciones comenzaron en 2017 con dispositivos Ubiquiti
Descubiertas por Ankit Anubhav, Investigador Principal de NewSky Security, una empresa de ciberseguridad especializada en la seguridad de la IoT, estos ataques benignos han estado en marcha desde el verano pasado.
En declaraciones a Bleeping Computer, Anubhav dice que vio por primera vez estas alteraciones en julio pasado, cuando encontró más de 36,000 enrutadores Ubiquiti con extraños nombres de host, un número que ha crecido a más de 40,000.
Los nombres de host de los routers Ubiquiti desconfigurados son los mismos que se usaron en una campaña de 2016 cuando los hackers cambiaron los inicios de sesión del enrutador de Ubiquiti al nombre de usuario "madre" y contraseña "fucker".
El año pasado y las recientes alteraciones de Ubiquiti no parecen cambiar la contraseña del usuario como en la campaña de 2016, sino solo el nombre de host del enrutador.
Desconfiguraciones recientes de los enrutadores MikroTik
Pero los ataques de Ubiquiti son bien conocidos en este momento, al menos en la comunidad infosec. Menos conocidos son los recientes ataques contra dispositivos MikroTik, detectados por Anubhav a principios de esta semana.
Anubhav detectó más de 7.300 enrutadores desfigurados, que es aproximadamente el 1,3% de todos los dispositivos MikroTik disponibles en línea.
Los ataques causaron un pánico inicial porque nadie sabía cómo estaban teniendo lugar.
Un análisis inicial llevó a Anubhav y al compañero investigador de seguridad Dr. Vesselin Bontchev a hacer que ambos expertos especularan que los ataques se estaban llevando a cabo utilizando un exploit incluido en los archivos WikiLeaks Vault 7 (documentación para armas cibernéticas de la CIA).
El año pasado, un investigador de seguridad realizó una ingeniería inversa de este exploit, conocido como Chimay Red, y publicó el código en GitHub, lo que obligó a MikroTik a emitir una actualización de firmware.
Sin embargo, después de observar de cerca los dispositivos pirateados, Anubhav notó que algunos de los dispositivos dañados estaban ejecutando versiones de firmware que habían sido parcheadas contra el exploit Chimay Red.
Las credenciales predeterminadas son la causa más probable
Las cosas se aclararon cuando Anubhav encontró a los usuarios quejándose en los foros de MikroTik sobre dispositivos dañados, admitiendo que estaban usando credenciales predeterminadas o sin credenciales.
"Parece que alguien hizo un script que inicia sesión en dispositivos no protegidos y cambia el nombre de identidad", dijo un portavoz de MikroTik. "Los dispositivos MikroTik RouterOS tienen una contraseña y un firewall por defecto, pero muchos los eliminan por razones desconocidas".
El bromista vigilante detrás de los ataques de MikroTik podría haber hecho mucho más daño con semejante script. En cambio, simplemente optó por cambiar el nombre de host del servidor FTP del enrutador a "HACKED FTP server".
Entendemos que ejecutar un enrutador seguro para el hogar a veces es demasiado difícil para los usuarios sin habilidades técnicas, pero si está interesado en saber más sobre el tema, aquí hay un artículo que detalla algunos de los aspectos básicos.