Estos dispositivos son poderosos y, a menudo, muy vulnerables
Se ha descubierto que al menos 300.000 direcciones IP asociadas con dispositivos MikroTik son vulnerables a múltiples vulnerabilidades de seguridad explotables de forma remota que desde entonces han sido parcheadas por el popular proveedor de enrutadores y dispositivos ISP inalámbricos.
Los dispositivos más afectados se encuentran en China, Brasil, Rusia, Italia, Indonesia, y Estados Unidos ocupa el puesto número ocho, dijo en un informe la firma de ciberseguridad Eclypsium.
"Estos dispositivos son poderosos y, a menudo, muy vulnerables", anotaron los investigadores. "Esto ha convertido a los dispositivos MikroTik en los favoritos entre los actores de amenazas que se han apoderado de los dispositivos para todo, desde ataques DDoS, comando y control (también conocido como 'C2'), túneles de tráfico y más".
Los dispositivos MikroTik son un atractivo objetivo, sobre todo porque hay más de dos millones de ellos desplegados en todo el mundo, lo que representa una enorme superficie de ataque que los actores de amenazas pueden aprovechar para montar una serie de intrusiones.
De hecho, a principios de septiembre, surgieron informes de una nueva botnet llamada Mēris que organizó un ataque sin precedentes de denegación de servicio distribuido (DDoS) contra la empresa rusa de Internet Yandex mediante el uso de dispositivos de red de Mikrotik como vector de ataque mediante la explotación de una vulnerabilidad de seguridad ahora abordada en el sistema operativo (CVE-2018-14847).
Además, los investigadores de Eclypsium dijeron que encontraron 20.000 dispositivos MikroTik expuestos que inyectaban scripts de minería de criptomonedas en las páginas web que visitaban los usuarios.
"La capacidad de los enrutadores comprometidos para inyectar contenido malicioso, hacer túneles, copiar o desviar el tráfico se puede utilizar de diversas formas muy dañinas", dijeron los investigadores. "El envenenamiento de DNS podría redirigir la conexión de un trabajador remoto a un sitio web malicioso o introducir una máquina en el medio".
"Un atacante podría utilizar técnicas y herramientas conocidas para capturar información confidencial, como robar las credenciales MFA de un usuario remoto mediante SMS a través de WiFi. Al igual que con los ataques anteriores, el tráfico empresarial podría canalizarse a otra ubicación o se podría inyectar contenido malicioso en el tráfico válido", agregaron los investigadores.
Los enrutadores MikroTik están lejos de ser los únicos dispositivos que han sido incorporados a una botnet. Investigadores de Fortinet revelaron esta semana cómo la botnet Moobot está aprovechando una vulnerabilidad conocida de ejecución remota de código (RCE) en los productos de videovigilancia de Hikvision (CVE-2021-36260) para hacer crecer su red y utilizar los dispositivos comprometidos para lanzar ataques de denegación de servicio distribuido (DDoS).
