Desde 2018, os roteadores Mikrotik estão sob o olhar da comunidade tecnológica pela reincidência de ataques em massa ocorridos com os usuários desses aparelhos.
Amplamente usado tanto em redes domésticas, como empresariais, os roteadores se tornaram um dos principais vetores de ataques DDos, trojans e spywares, colocando centenas de milhares de clientes em risco.
Histórico de ataques ao Mikrotik
Pesquisa divulgada pela Kaspersky Lab em março de 2018 mostrou que uma vulnerabilidade nos roteadores permitia que os criminosos sequestrassem os dispositivos e acrescentasse arquivos DLL maliciosos, gerando uma porta para espionagem em massa. O ataque (considerado “único” aos olhos da comunidade) foi iniciado em 2012 pelo grupo Slingshot e permaneceu na ativa até 2018.
Ainda de acordo com o estudo, esse ataque desenvolvido pelo Slingshot era extremamente sofisticado e direcionado, o que configurava a atuação de um grupo provavelmente financiado por grandes corporações ou governos. Na época a Kaspersky Lab falou que se tratava de um malware APT que não deixava rastros de sua atuação, demandando muito tempo e dinheiro para ser desenvolvido.
Após essa ocorrência, outras situações envolvendo o Mikrotik começaram a aparecer na mídia. Em setembro de 2018, uma nova onda de sequestros de roteadores aconteceu, dessa vez se aproveitando de uma vulnerabilidade de segurança envolvendo o sistema operacional MikroTik RouterOS.
De acordo com o portal ZD NET, a vulnerabilidade estava presente no Winbox, um utilitário de administração do MikroTik RouterOS. Estima-se que 1,2 milhão de dispositivos foram expostos a essa falha.
Ainda de acordo com o portal, as maiores vítimas desses ataques estavam concentradas na Rússia, Brasil, Indonésia, Índia e Irã. Ou seja, o Brasil era o segundo país de maior interesse dos cibercriminosos. Isso comprova o quão desprotegidas estão as empresas (e usuários comuns) que utilizam dessa estrutura sem outras formas de proteção.
Em 2021, mais de 300 mil roteadores se mostraram vulneráveis a diversos protocolos de segurança. De acordo com a empresa Eclypsium, que desenvolveu o relatório de segurança divulgado em dezembro daquele ano, os dispositivos mais afetados pelas vulnerabilidades estão localizados na China, Brasil, Rússia, Itália e Indonésia.
“Esses dispositivos são poderosos e muitas vezes altamente vulneráveis. Isso tornou os MikroTik os favoritos entre os cibercriminosos que comandaram os dispositivos para tudo, desde ataques DDoS, comando e controle (também conhecido como ‘C2’), encapsulamento de tráfego, mineração e outras ações.” afirmaram os pesquisadores da Eclypsium.
De acordo com o Bleeping Computer, em agosto de 2021 o botnet Mēris explorou vulnerabilidades em roteadores MikroTik para criar um exército de dispositivos que realizaram um ataque DDoS gigantesco na empresa Yandex.
Na época, a MikroTik explicou que os criminosos por trás do ataque exploraram vulnerabilidades corrigidas em 2018 e 2019, mas que as vítimas não fizeram as atualizações necessárias para corrigir esses problemas.
Por meio dos dados disponibilizados pelo relatório da Eclypsium, existem quatro CVEs que ainda podem afetar uma quantidade grande de dispositivos desatualizados. São elas:
- CVE-2019-3977: Downgrade remoto do sistema operacional e redefinição do sistema. CVSS v3 – 7.5
- CVE-2019-3978: Envenenamento de cache remoto não autenticado. CVSS v3 – 7.5
- CVE-2018-14847: Acesso e gravação de arquivos arbitrários não autenticados remotos. CVSS v3 – 9.1
- CVE-2018-7445: Estouro de buffer permitindo acesso remoto e execução de código. CVSS v3 – 9.8
Portanto, a atualização do sistema operacional, dentro das melhores práticas divulgada pela fabricante, é a única forma de evitar que esses pontos sejam explorados. Porém, mesmo assim, os problemas com o Mikrotik seguem ocorrendo ano após ano, o que deve ligar um alerta vermelho nos usuários dos dispositivos.
Em 2022, novas falhas de segurança permitiram que 20.000 dispositivos fossem atacados por cibercriminosos. Esse novo ataque, resquício da falha de segurança de 2018 que ainda afeta dispositivos não atualizados, permitiu que roteadores vulneráveis da Mikrotik formassem uma grande rede de disseminação de malware Trickbot e Glupteba.
De acordo com uma pesquisa divulgada pela Avast e reportada pelo The Hacker News em março de 2022, uma campanha de mineração de criptomoedas, que utilizava a rede de bots Glupteba e o malware TrickBot, foi distribuída usando o mesmo servidor de comando e controle (C2) do Mikrotik.
“A vulnerabilidade CVE-2018-14847, que foi divulgada em 2018 e para a qual a MikroTik disponibilizou uma correção, permitiu que os cibercriminosos por trás dessa botnet sequestrassem centenas de roteadores e os disponibilizassem como um serviço”, disse o comunicado da Avast.
Mikrotik deve ser usado como sistema de segurança?
Neste artigo listamos alguns dos ataques ocorridos com dispositivos Mikrotik ao longo dos anos. Como já se sabe, os Mikrotik são roteadores. Ou seja: são parte fundamental da rede empresarial e não podem ficar desprotegidos.
Entretanto, muitas empresas utilizam o Mikrotik também como firewall padrão para o tráfego, sem outros sistemas de proteção de entrada e saída. Como já explicamos aqui no Blog, a proteção de ending point é extremamente importante para a sua organização, principalmente em uma era onde os ataques de ransomware tem crescido e se transformado rapidamente. Sendo assim, não há espaço para erros.
Em diversos casos, empresas acabam assumindo que a proteção do roteador é suficiente para a segurança da rede, algo que não é verdade. O Mikrotik não deve ser utilizado como firewall de segurança padrão, pois não é esse o foco do dispositivo, tampouco possui robustez para isso.
Portanto, é necessário que, além de seguir as diretrizes aconselhadas pelo fabricante (como baixar todos os patches de update e manter a senha em constante mudança) a empresa ou infraestrutura de segurança possua outras formas de proteção para a organização, com firewalls e sistemas de proteção Zero Trust.
Para tal, você precisa de uma empresa que garanta a infraestrutura de cibersegurança para a sua rede e mantenha seus dados protegidos 24 horas por dia, 7 dias por semana.
Entre em contato com a VNX Partners e conheça as nossas soluções de segurança digital.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
Vulnerabilidades digitais: tendências para ficar de olho
Começam a ser divulgados importantes relatórios sobre ameaças cibernéticas que mais impactaram o mercado até
Malwares para Linux: entenda a crescente onda de ameaças
O Linux é um dos sistemas operacionais mais utilizados no mundo. Por se tratar de
Linux: conheça a ferramenta de varredura antimalware gratuita
O Linux é um sistema operacional amplamente conhecido e utilizado, tendo como principal característica a
Backup: conheça os principais tipos e por que é importante
Ter um bom sistema de backup na sua organização é a garantia de preservação de
Conheça as soluções avançadas em cibersegurança da Fortinet
À medida que a tecnologia continua a evoluir e os ataques cibernéticos se tornam cada
VPN gratuitas: apps transformam celulares Android em proxies
Com o aumento das preocupações com a privacidade e segurança online, os serviços de Rede