Este fallo en MikroTik RouterOS puede hacer que tu router se bloquee y reinicie

Escrito por Rubén Velasco

Los routers son los dispositivos que tienen conexión directa a Internet, y por ello, los piratas informáticos suelen buscar diferentes formas de atacarlos y poner en peligro nuestra seguridad a partir de ellos. Por ello, es vital que los fabricantes de los routers ofrezcan un firmware robusto y seguro y, además, que cuenten con una excelente respuesta ante cualquier posible fallo de seguridad, algo que, según parece, MikroTik, con su firmware RouterOS, no cumple demasiado bien.

Un investigador de seguridad descubrió un fallo de seguridad en RouterOS, el firmware de los routers de MikroTik, que permite realizar ataques de denegación de servicio, DoS, dejando el router totalmente bloqueado, e incluso reiniciarlo.

Los piratas informáticos pueden explotar fácilmente este fallo de seguridad generando numerosas peticiones maliciosas a través del protocolo TCP IP, concretamente a través de IPv6, haciendo que el Watchdog Timer (WDT) (componente encargado de reiniciar los routers y equipos cuando no responden y están sobrecargados) reinicie el router al quedarse sin memoria disponible y quedar largos tiempos bloqueado y sin responder a causa de la falta de memoria disponible.

MikroTik no se tomó muy en serio este fallo de seguridad, registrado como CVE-2018-19299 y reportado en 2018, aunque finalmente este año decidió “solucionarlo” lanzando un parche encargado de asignar una caché de manera que las peticiones IPv6 no pudieran saturar la memoria de los dispositivos afectados.

Sin embargo, esto no corrige la vulnerabilidad en cuestión, sino que solo se trata de una solución a medias.

Vulnerabilidad MikroTik

RouterOS 6.44.2: una solución a medias de MikroTik para la seguridad de sus routers

MikroTik anunció que a partir de la versión 6.44.2 de RouterOS (o la 6.43.14 de soporte a largo plazo) lanzadas este mismo mes este fallo de seguridad ya había sido solucionado, aunque la verdad es que no es así.

Mientras que en IPv4 este fallo de seguridad no es relevante debido a que es muy complicado saturar la memoria utilizando estas conexiones y la caché que se genera es relativamente pequeña, cuando se trata de peticiones IPv6 la caché que genera el nuevo firmware es bastante más grande, pudiendo llegar a ser superior al espacio disponible en la memoria de los routers que cuentan con 64 MB de memoria RAM, por lo que es totalmente inútil.

Tal como asegura el fabricante, a partir de dichas versiones los routers no se bloquearán y estarán protegidos frente al ataque DoS siempre y cuando el dispositivo tenga más de 64 MB de RAM, ya que tendrán memoria suficiente para crear la caché para manejar las peticiones IPv6 que le lleguen. Si los routers tienen 64 MB de memoria RAM, o menos, entonces seguirán siendo igual de vulnerables al no poder crear una caché lo suficientemente grande para paliar este ataque DoS.

Si tenemos un router MikroTik es totalmente necesario asegurarnos de estar utilizando una versión de Router OS posterior al 1 de abril de 2019, ya que, de lo contrario, estaremos en peligro ante este posible ataque DoS que deje nuestro router bloqueado o lo reinicie mientras lo estamos utilizando.

Cómo protegernos de la vulnerabilidad en el firmware RouterOS de MikroTik

No es la primera vez que los usuarios de routers MikroTik con RouterOS se ven en peligro. Sin ir más lejos, en la segunda mitad de 2018 pudimos ver cómo estos routers eran vulnerables a un exploit que permitía conseguir permisos de root en este firmware, otro fallo de seguridad que permitía reenviar el tráfico de los usuarios a piratas informáticos e incluso una botnet, formada por 200.000 router MikroTik.

Para poder estar protegidos de esta y de cualquier otro posible vulnerabilidad es necesario asegurarnos de estar utilizando una versión actualizada del firmware RouterOS, concretamente la nueva versión 6.44.2, la 6.45beta23 o la v6.43.14, todas ellas lanzadas a principios de este mismo mes.

Además, si no utilizamos IPv6, podemos comprobar que dicha funcionalidad está desactivada en RouterOS (viene desactivada por defecto), por lo que no tendremos de qué preocuparnos.

¿Tienes un router MikroTik? ¿Has actualizado a la última versión de RouterOS para protegerte de esta vulnerabilidad?

Fuente > mikrotik