Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in router MikroTik consente l’intercettazione del traffico

MikroTik  router   mercoledì, 5 settembre 2018

MikroTik è una società lettone fondata nel 1996 che produce router e sistemi wireless per ISP. A partire dal 2002 MikroTik ha sviluppato una piattaforma hardware proprietaria chiamata RouterBOARD. RouterOS è un sistema operativo embedded basato su Linux che equipaggia gli apparati di rete prodotti da MikroTik.

I ricercatori di sicurezza della società cinese Qihoo 360 hanno recentemente individuato migliaia di router MikroTik compromessi sfruttando exploit di due differenti vulnerabilità note, di cui una del tool di gestione Winbox (CVE-2018-14847), che consente di aggirare l’autenticazione e leggere file arbitrari, e una dell’interfaccia basata sul Web Webfig, che consente eseguire codice arbitrario da remoto. Entrambi questi strumenti consentono la gestione della configurazione del sistema RouterOS attraverso le le porte TCP 8291, 80 e 8080.

Attraverso un sistema di honeypot, già da metà luglio i ricercatori sono riusciti ad intercettare ed analizzare il traffico generato da dispositivi MikroTik attaccati sfruttando la vulnerabilità CVE-2018-14847. L’analisi ha rilevato diverse attività malevoli, oltre al fatto che il traffico generato da circa 7500 dispositivi compromessi veniva reindirizzato verso indirizzi IP sotto il controllo degli attaccanti. Inoltre, è stato osservato come un numero enorme di vittime avevano il proxy Socks4 abilitato da un attaccante esterno.

Router MikroTik vulnerabili

Distribuzione dei router MikroTik vulnerabili a CVE-2018-14847 (fonte: Qihoo 360)

Stando a quanto riportato da Qihoo 360, in totale i dispositivi MikroTik vulnerabili nel mondo sono circa 300.000, distribuiti prevalentemente in Brasile, Russia, India e Indonesia. In Italia ci sarebbero più di 16.000 router potenzialmente a rischio.

Sono possibili tre scenari di attacco:

  • Iniezione di codice Mining CoinHive: una volta abilitato il proxy HTTP di RouterOS, gli attaccanti sono in grado di reindirizzare tutte le richieste del proxy HTTP ad una pagina locale di errore HTTP 403 e a iniettare in essa un collegamento contenente il codice mining di criptovalute CoinHive. L’attacco fortunatamente non funziona in quanto tutte le risorse Web esterne, incluse quelle di coinhive.com, sono bloccate dalle ACL dei proxy impostati dagli stessi attaccati.
  • Abilitazione malevola del Proxy Socks4: attualmente circa 239.000 dispositivi presentano la porta Socks4 (TCP 4153) abilitata in maniera fraudolenta e la configurazione del proxy consente l’accesso solo dalla seguente classe di IP: 95.154.216.128/25. Affinché l’attaccante possa ottenere il controllo anche dopo il riavvio del dispositivo, il router viene configurato per eseguire un’attività pianificata che segnala periodicamente il suo ultimo indirizzo IP accedendo ad un URL malevolo. L’attaccante sfrutta questo proxy Socks4 compromesso anche per eseguire la scansione di altri dispositivi MikroTik vulnerabili.
  • Intercettazione del traffico: i dispositivi MikroTik RouterOS consentono agli utenti di catturare pacchetti sul router e inoltrare il traffico di rete ad un server Stream specificato. Attualmente un totale di circa 7500 IP associati a dispositivi MikroTik risultano compromessi dagli attaccanti e il loro traffico viene dirottato verso alcuni indirizzi IP malevoli.

Si raccomanda agli utenti di router MikroTik equipaggiati con RouterOS di aggiornare al più presto il software di sistema alla versione più recente messa a disposizione dal produttore.

Fonte: CERT-PA

Notizie correlate

Il malware VPNFilter attacca router e dispositivi NAS

24 maggio 2018

I ricercatori di Cisco Talos hanno pubblicato i risultati parziali dell'analisi di VPNFilter, un malware modulare molto avanzato che prende di mira dispositivi IoT come router in ambito SoHo e apparati NAS.Leggi tutto

Scoperte vulnerabilità critiche in router GPON

2 maggio 2018

È stata rivelato l'esistenza di due vulnerabilità critiche in numerosi router residenziali GPON. Se sfruttate in combinazione, queste vulnerabilità possono consentire di aggirare l'autenticazione ed eseguire comandi arbitrari sul router.Leggi tutto

Vulnerabilità multiple in router industriali Moxa EDR-810

17 aprile 2018

È stata recentemente rilevata la presenza di numerose vulnerabilità, di cui molte di gravità elevata, nei router per sistemi industriali della serie Moxa EDR-810.Leggi tutto