Desde 2018, os roteadores Mikrotik estão sob o olhar da comunidade tecnológica pela reincidência de ataques em massa ocorridos com os usuários desses aparelhos.
Amplamente usado tanto em redes domésticas, como empresariais, os roteadores se tornaram um dos principais vetores de ataques DDos, trojans e spywares, colocando centenas de milhares de clientes em risco.
Histórico de ataques ao Mikrotik
Pesquisa divulgada pela Kaspersky Lab em março de 2018 mostrou que uma vulnerabilidade nos roteadores permitia que os criminosos sequestrassem os dispositivos e acrescentasse arquivos DLL maliciosos, gerando uma porta para espionagem em massa. O ataque (considerado “único” aos olhos da comunidade) foi iniciado em 2012 pelo grupo Slingshot e permaneceu na ativa até 2018.
Ainda de acordo com o estudo, esse ataque desenvolvido pelo Slingshot era extremamente sofisticado e direcionado, o que configurava a atuação de um grupo provavelmente financiado por grandes corporações ou governos. Na época a Kaspersky Lab falou que se tratava de um malware APT que não deixava rastros de sua atuação, demandando muito tempo e dinheiro para ser desenvolvido.
Após essa ocorrência, outras situações envolvendo o Mikrotik começaram a aparecer na mídia. Em setembro de 2018, uma nova onda de sequestros de roteadores aconteceu, dessa vez se aproveitando de uma vulnerabilidade de segurança envolvendo o sistema operacional MikroTik RouterOS.
De acordo com o portal ZD NET, a vulnerabilidade estava presente no Winbox, um utilitário de administração do MikroTik RouterOS. Estima-se que 1,2 milhão de dispositivos foram expostos a essa falha.
Ainda de acordo com o portal, as maiores vítimas desses ataques estavam concentradas na Rússia, Brasil, Indonésia, Índia e Irã. Ou seja, o Brasil era o segundo país de maior interesse dos cibercriminosos. Isso comprova o quão desprotegidas estão as empresas (e usuários comuns) que utilizam dessa estrutura sem outras formas de proteção.
Em 2021, mais de 300 mil roteadores se mostraram vulneráveis a diversos protocolos de segurança. De acordo com a empresa Eclypsium, que desenvolveu o relatório de segurança divulgado em dezembro daquele ano, os dispositivos mais afetados pelas vulnerabilidades estão localizados na China, Brasil, Rússia, Itália e Indonésia.
“Esses dispositivos são poderosos e muitas vezes altamente vulneráveis. Isso tornou os MikroTik os favoritos entre os cibercriminosos que comandaram os dispositivos para tudo, desde ataques DDoS, comando e controle (também conhecido como ‘C2’), encapsulamento de tráfego, mineração e outras ações.” afirmaram os pesquisadores da Eclypsium.
De acordo com o Bleeping Computer, em agosto de 2021 o botnet Mēris explorou vulnerabilidades em roteadores MikroTik para criar um exército de dispositivos que realizaram um ataque DDoS gigantesco na empresa Yandex.
Na época, a MikroTik explicou que os criminosos por trás do ataque exploraram vulnerabilidades corrigidas em 2018 e 2019, mas que as vítimas não fizeram as atualizações necessárias para corrigir esses problemas.
Por meio dos dados disponibilizados pelo relatório da Eclypsium, existem quatro CVEs que ainda podem afetar uma quantidade grande de dispositivos desatualizados. São elas:
- CVE-2019-3977: Downgrade remoto do sistema operacional e redefinição do sistema. CVSS v3 – 7.5
- CVE-2019-3978: Envenenamento de cache remoto não autenticado. CVSS v3 – 7.5
- CVE-2018-14847: Acesso e gravação de arquivos arbitrários não autenticados remotos. CVSS v3 – 9.1
- CVE-2018-7445: Estouro de buffer permitindo acesso remoto e execução de código. CVSS v3 – 9.8
Portanto, a atualização do sistema operacional, dentro das melhores práticas divulgada pela fabricante, é a única forma de evitar que esses pontos sejam explorados. Porém, mesmo assim, os problemas com o Mikrotik seguem ocorrendo ano após ano, o que deve ligar um alerta vermelho nos usuários dos dispositivos.
Em 2022, novas falhas de segurança permitiram que 20.000 dispositivos fossem atacados por cibercriminosos. Esse novo ataque, resquício da falha de segurança de 2018 que ainda afeta dispositivos não atualizados, permitiu que roteadores vulneráveis da Mikrotik formassem uma grande rede de disseminação de malware Trickbot e Glupteba.
De acordo com uma pesquisa divulgada pela Avast e reportada pelo The Hacker News em março de 2022, uma campanha de mineração de criptomoedas, que utilizava a rede de bots Glupteba e o malware TrickBot, foi distribuída usando o mesmo servidor de comando e controle (C2) do Mikrotik.
“A vulnerabilidade CVE-2018-14847, que foi divulgada em 2018 e para a qual a MikroTik disponibilizou uma correção, permitiu que os cibercriminosos por trás dessa botnet sequestrassem centenas de roteadores e os disponibilizassem como um serviço”, disse o comunicado da Avast.
Mikrotik deve ser usado como sistema de segurança?
Neste artigo listamos alguns dos ataques ocorridos com dispositivos Mikrotik ao longo dos anos. Como já se sabe, os Mikrotik são roteadores. Ou seja: são parte fundamental da rede empresarial e não podem ficar desprotegidos.
Entretanto, muitas empresas utilizam o Mikrotik também como firewall padrão para o tráfego, sem outros sistemas de proteção de entrada e saída. Como já explicamos aqui no Blog, a proteção de ending point é extremamente importante para a sua organização, principalmente em uma era onde os ataques de ransomware tem crescido e se transformado rapidamente. Sendo assim, não há espaço para erros.
Em diversos casos, empresas acabam assumindo que a proteção do roteador é suficiente para a segurança da rede, algo que não é verdade. O Mikrotik não deve ser utilizado como firewall de segurança padrão, pois não é esse o foco do dispositivo, tampouco possui robustez para isso.
Portanto, é necessário que, além de seguir as diretrizes aconselhadas pelo fabricante (como baixar todos os patches de update e manter a senha em constante mudança) a empresa ou infraestrutura de segurança possua outras formas de proteção para a organização, com firewalls e sistemas de proteção Zero Trust.
Para tal, você precisa de uma empresa que garanta a infraestrutura de cibersegurança para a sua rede e mantenha seus dados protegidos 24 horas por dia, 7 dias por semana.
Entre em contato com a VNX Partners e conheça as nossas soluções de segurança digital.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
Notificações push: apps utilizam recurso para coletar dados no iOS indevidamente
As notificações push podem ser usadas para coletar dados no iOS? De acordo com um
4 ameaças digitais que você precisa estar atento em 2024
Todos os dias passamos por situações que nos colocam na mira de possíveis ameaças digitais.
Trends das redes sociais: os perigos de compartilhar seus dados
Todos os meses pelo menos um novo formato viral toma conta do seu feed, principalmente
Sequestro de dados: epidemia digital com consequências prolongadas
Desde 2020, os ataques hackers que sequestram dados de empresas se tornaram uma verdadeira epidemia.
Ransomware: 45% das empresas de saúde já foram vítimas de ataque
Em um novo estudo global divulgado pela empresa Arcserve, foi revelado um percentual alarmante de
PNCiber: Política de cibersegurança é criada pelo Governo Federal
No dia 27 de dezembro de 2023 foi aprovada pelo Governo Federal a Política Nacional