Miles de enrutadores MikroTik están espiando el tráfico de los usuarios

En otro caso más de dispositivos de consumo sin parches que representan una amenaza para la seguridad y la privacidad de los usuarios, se han descubierto miles de MikroTik que están espiando a los usuarios.

Los enrutadores han sido secuestrados a través de la vulnerabilidad de seguridad CVE-2018-14847, un error conocido que afecta el sistema operativo MikroTik RouterOS.

La vulnerabilidad está presente en Winbox, una utilidad de administración en MikroTik RouterOS que también ofrece una GUI para la configuración del enrutador.

La versión 6.42 del SO "permite a los atacantes remotos eludir la autenticación y leer archivos arbitrarios al modificar una solicitud para cambiar un byte relacionado con una ID de sesión".

Los parches llegaron en Agosto

Se aplicaron los parches en agosto y impiden que los creadores de amenazas lean o extralimiten los datos que pasan a través del enrutador, pero muchos modelos siguen siendo vulnerables.

Más de 370,000 dispositivos sin parchear

Investigadores de 360 ​​Netlab dicen que de los más de cinco millones de dispositivos con un puerto abierto TC /8291 y que 1,2 millones son enrutadores MikroTik, de los cuales, 370,000 dispositivos permanecen sin aplicar ningún parche contra la vulnerabilidad CVE-2018-14847.

El equipo ha estado recogiendo exploits activos de varios de estos enrutadores desde mediados de julio a través de un sistema honeypot.

En total, más de 7.500 enrutadores están reenviando datos de usuario directamente, mientras que 239.000 han habilitado de forma encubierta sus proxys de Socks4.

"El puerto Socks4 es principalmente TCP/4153, la configuración del proxy Socks4 solo permite el acceso desde una determinada dirección de red 95.154.216.128/25", dicen los investigadores.

"Para que el atacante obtenga el control incluso después del reinicio del dispositivo (cambio de IP), el dispositivo está configurado para ejecutar una tarea programada para informar periódicamente su última dirección IP accediendo a la URL de un atacante específico. El atacante también continúa escaneando más enrutadores Mikrotik con el sistema operativo RouterOS mediante el uso de estos proxies Socks4 comprometidos".

360 Netlab agregó que aunque no se sabe por qué ha tenido lugar esta manipulación, los investigadores creen que es "algo significativo".

Todas las solicitudes de proxy en los dispositivos afectados también se redirigen a una página local de error HTTP que los ciberdelincuentes a la espera de que permitiera el lanzamiento de un script de minería de Coinhive, que se utilizaba para minar la criptomoneda Monero.