Un "vigilante" infecta a 100 000 Mikrotik para protegerlos

[h]El administrador de redes ruso que soñaba con ser el superhéroe Mikrotik[/h]

Una brecha critica en los dispositivos de redes Mikrotik ha sido desvelada esta primavera: Dissection of Winbox critical vulnerability - CVE-2018-14847
La vulnerabilidad se localiza en el código de la GUI “Winbox”.
Un pequeño programa “extra” de Mikrotik diseñado para windows :stuck_out_tongue: cuya meta es facilitar la gestión del acceso remoto.

El problema es que esta** GUI **se puede usar para obtener credenciales de administrador y re-configurar remotamente el dispositivo.
Para, por ejemplo, instalar un minador de bitcoins o incluir el dispositivo en un botnet para DDoS
Lo que se suele llamar “un zero dayde los chungos”

La reacción de Mikrotik fue muy rápida y publicaron unos parches correctivos enseguida (el día siguiente) : MikroTik Patches Zero-Day Flaw Under Attack in Record Time
Además informaron a sus usuarios con una nota detallada. Poco más podían haber hecho.
Los otros fabricantes harían bien en seguir su ejemplo: “full dislcosure” y soporte de “por vida” con su RouterOS

A pesar de esta reacción contundente se evalúa que unos 420 000 routers mikrotik fueron comprometidos a un momento dado con minador de bitcoin
Estas cifras imponentes se deben a que algunos ISP y usuarios no han actualizado su SO desde** abril 2018**.
Los usuarios finales tienen excusas… ¡Los ISP, que se dedican a esto y cobran sus clientes cada mes, ningunas!
Culpables y irresponsables :pam:
Sobre todo que solo tienen que instalar la actualización ya hecha por Mikrotik y lista para uso. :confused:

La situación es por lo tanto la siguiente:

Winbox PoC @ Github

Y es en este punto del relato que entra en acción el “superhéroe” del día.
Las comillas en la palabra “superhéroe” son de rigor porque lo que ha hecho no tiene ningún merito “técnico”
Cualquiera hubiera podido hacerlo, simplemente ha usado los epxloits conocidos para forzar la actualización del SO y ha cerrado los puertos sobre le exterior.

No es el primer justiciero de este tipo. Por ejemplo les había hablado del malware gentil Linux.Wifratch
Con una diferencia notable en este caso: La sed de protagonismo por parte del administrador de redes ruso que ha efectuado el pirateo.
No ha dudo en darse a conocer, comunicar sobre el asunto en redes sociales con mucho orgullo y dejar su tarjeta de visita a los dueños de los routers que ha hackeado.

[quote]Alexey has not been trying to hide his actions and has boasted about his hobby on a Russian blogging platform. He says he accesses routers and makes changes to their settings to prevent further abuse.
“I added firewall rules that blocked access to the router from outside the local network,” Alexey said. “In the comments, I wrote information about the vulnerability and left the address of the @router_os Telegram channel, where it was possible for them to ask questions.”
But despite adjusting firewall settings for over 100,000 users, Alexey says that only 50 users reached out via Telegram. A few said “thanks,” but most were outraged.[/quote]
Parece incluso molesto porque “solo 50 personas tomaron el tiempo de contactarlo y muy pocas les dieron las gracias” en la cuenta* telegram* que montó para responder a las preguntas de la gente.
¿El tío esperaba que le den el premio nobel? :smiley:
Lo que está claro es que si se presenta en la próxima defcon’ para ir de listo le echarán a patada por ser un payaso. :smiley:

Respecto a mikrotik: ¡Qué pena!
Son de los pocos fabricantes a proponer un OS consistente con “soporte de por vida”, comunican claramente y sistemáticamente cuando se encuentra una brecha de seguridad y la brecha en cuestión fue arreglada en 24 horas,
No se puede pedir más.
La cagan por una mierdecita de GUI, un código cerrado para windows 32bits puesto aquí sin sentido, con dll locas, en un sistema linux. :pam:
La lección es que deben aplicar esta filosofía “muy linux” hasta los últimos detalles en su SO y que hubieran tenido que liberar el código de su GUI,
fuente

  1. A mysterious grey-hat is patching people’s outdated MikroTik routers by ** Catalin Cimpanu** @ ZDnet/*]

Pretendía hacer el bien, según su propio criterio,menudo capullo está hecho el listo de turno…:lol: