Mēris botnet

A principios de septiembre de 2021, MikroTik dio a conocer que habia una red botnet que involucra dispositivos MikroTik. Estos ataques utilizan los mismos routers que fueron comprometidos en 2018, cuando MikroTik RouterOS tenía una vulnerabilidad que se solucionó rápidamente.


No hay una nueva vulnerabilidad en RouterOS y no hay malware escondido en el sistema de archivos de RouterOS incluso en los dispositivos infectados en el 2018. Sin embargo, el atacante está reconfigurando los dispositivos RouterOS para el acceso remoto, utilizando comandos y características de RouterOS en sí.


Lamentablemente, cerrar la antigua vulnerabilidad no protege inmediatamente estos routers. Si alguien obtuvo su contraseña en 2018, solo una actualización no ayudará.


También debe cambiar la contraseña, volver a revisar su firewall si no permite el acceso remoto a partes desconocidas y buscar scripts que no haya creado.


Hemos intentado comunicarnos con todos los usuarios de RouterOS al respecto, pero muchos de ellos nunca han estado en contacto con MikroTik y no están monitoreando activamente sus dispositivos. También estamos trabajando en otras soluciones.


No hay nuevas vulnerabilidades en estos dispositivos. RouterOS ha sido auditado recientemente de manera independiente por varias terceras partes.

Mejores prácticas:

Tome nota de estas sugerencias para tener más seguro su router MikroTik:

  • Mantenga su dispositivo MikroTik actualizado con actualizaciones regulares.
  • No abra el acceso a su dispositivo desde el lado de Internet para todos, si necesita acceso remoto, solo abra un servicio de VPN seguro, como IPsec.
  • Use una contraseña fuerte y, aunque lo haga, ¡cámbiela ahora!
  • No asuma que su red local puede ser confiable. El malware puede intentar conectarse a su enrutador si tiene una contraseña débil o sin contraseña.
  • Inspeccione la configuración de su RouterOS en busca de configuraciones desconocidas.

Configuración a tener en cuenta y eliminar:

En colaboración con investigadores de seguridad independientes, hemos descubierto que existe malware que intenta reconfigurar su dispositivo MikroTik desde una computadora con Windows dentro de su red. Es por eso que es importante establecer una contraseña mejor ahora (para evitar el inicio de sesión sin contraseña o un ataque de diccionario por este malware) y mantener su enrutador MikroTik actualizado (ya que este malware también intenta explotar la vulnerabilidad CVE-2018-14847 mencionada que ha sido corregida desde hace mucho tiempo).

  • Reglas de programación en "System -> Scheduler" que ejecuten un script Fetch. Elimine estas.
  • Proxy de Socks en "IP". Si no utiliza esta función o no sabe para qué sirve, debe desactivarse.
  • Cliente L2TP con nombre "lvpn" o cualquier otro cliente L2TP que no reconozca.
  • Regla de firewall de entrada que permite el acceso al puerto 5678.

Fuente:

Este artículo fue traducido del blog oficial de MikroTik:

https://blog.mikrotik.com/security/meris-botnet.html

¡Inscríbete ahora!

Regístrate a nuestra newseletter para recibir los mejores consejos prácticos para que configures tu router MikroTik, directo en tu correo electrónico antes que cualquier persona. ¡Es gratis!

ENLACES RÁPIDOS

REDES SOCIALES

NOSOTROS

Expertos en

Capacitaciones de Telecomunicaciones

Todos los derechos reservados © Ecatel LLC Política de PrivacidadTérminos del servicio

Actualizar preferencias de las cookies