170.000 routers MikroTik convertidos en una botnet y utilizados para minar criptomonedas por un fallo 0-day

Escrito por Rubén Velasco

Los routers son los dispositivos más vulnerables de la red al estar conectados directamente a ella, sin otras medidas de seguridad adicionales. Por ello, es vital que los fabricantes ofrezcan un buen plan de actualizaciones para evitar que una vulnerabilidad pueda poner en peligro a miles de usuarios, tal como le ha ocurrido al conocido fabricante de routers MikroTik.

Recientemente, un grupo de investigadores de seguridad ha encontrado en la red una nueva botnet, formada por más de 170.000 routers MikroTik, que inyectaba una serie de scripts de Coinhive para minar criptomonedas utilizando los ordenadores y dispositivos de los usuarios conectados a estos routers. Según estos investigadores de seguridad, esta botnet se inició, con unos pocos routers, en Brasil, aunque en muy poco tiempo empezó a infectar dispositivos de todo el mundo hasta superar la cifra de los 170.000 routers MikroTik comprometidos, cifra que, además, sigue creciendo.

Según los investigadores de seguridad, estos routers se han podido comprometer a través de un fallo de seguridad 0-day encontrado el pasado mes de abril por un grupo de investigadores de seguridad en el componente Winbox de estos routers. Estos investigadores publicaron la prueba de concepto, PoC, en GitHub, lo que permitió a los piratas informáticos terminar de desarrollar el exploit para llevar a cabo este ataque y convertir los routers en una botnet utilizada para minar criptomonedas.

El alcance de este problema de seguridad de los routers MikroTik es muy superior a los 170.000 routers infectados

Cuando un router pasaba a formar parte de la botnet, automáticamente cargaba las librerías de Coinhive de manera que, cuando los usuarios navegaban por Internet conectados a este router, se inyectaba el script en todo el tráfico, utilizando los ordenadores, smartphones y demás dispositivos para minar criptomonedas.

Aunque se calcula que habrá en torno a 170.000 routers MikroTik infectados por todo el mundo, en realidad el número de víctimas es mucho mayor. Esto se debe a que algunos ISP utilizaban este tipo de routers vulnerables que, al ser infectados, enviaban automáticamente los scripts de Coinhive a todos sus clientes oculto en los paquetes HTTP. También, si un sitio web está conectado a través de un router de este fabricante, automáticamente todos los visitantes que accedan a la web recibirán el script de Coinhive.

Además, esta botnet está en pleno auge ahora mismo, ya que, según el motor de búsqueda “Shodan”, actualmente hay cerca de dos millones de routers MikroTik conectados, la mayoría de ellos vulnerables al no tener instalados los últimos parches de seguridad.

Cómo proteger nuestros routers MikroTik

MikroTik no tardó mucho en lanzar un parche de seguridad que corrigiera la vulnerabilidad en los modelos afectados. Sin embargo, como siempre suele ocurrir, que el parche esté disponible no significa que todos los usuarios estén protegidos, ya que el número de ellos que actualizó los dispositivos ha sido muy bajo.

Por ello, la mejor forma de protegernos de este fallo de seguridad y evitar que nuestro router MikroTik forme parte de una botnet es instalar esta actualización en los routers para corregir el fallo de seguridad en el componente Winbox. Además, si queremos, podemos restablecer los valores de fábrica del router de manera que, en caso de haber sido infectados, se elimine el exploit y, gracias a los parches, se evite que se vuelva a infectar.

¿Qué opinas de este fallo de seguridad? ¿Tienes un router MikroTik y ha caído víctima de esta vulnerabilidad?

Fuente > bleepingcomputer