ALERTA DE SEGURANÇA MIKROTIK – URGENTE

Saudações amigos AcessoWi-Fi.com!

Foi publicado no oficial Mikrotik um informativo sobre falhas de segurança críticos no RouterOS (Sistema operacional da Mikrotik) que pode deixar TODA SUA REDE VULNERÁVEL!

Este post atualiza os fatos em torno da vulnerabilidade do serviço www no RouterOS, que foi publicado pelo Wikileaks como parte do lançamento do documento Vault 7. A vulnerabilidade afetou a interface de configuração webfig do RouterOS, caso nenhum firewall fosse instalado para protegê-la. O MikroTik corrigiu a vulnerabilidade nas seguintes versões do RouterOS:

6.37.5 no canal Bugfix
6.38.5 no canal atual
Ambos foram lançados em 2017-mar-09.

A vulnerabilidade em questão foi posteriormente explorada por várias ferramentas maliciosas e usuários afetados do RouterOS que não atualizaram o RouterOS acima das versões mencionadas e abriram a porta de serviço www (porta TCP 80) para redes não confiáveis.

VPNfilter

A MikroTik foi informada pelo grupo de pesquisa Cisco Talos em 22 de maio de 2018, que uma ferramenta maliciosa foi encontrada em vários dispositivos do fabricante, incluindo dispositivos feitos pela MikroTik. Estamos altamente certos de que esse malware foi instalado nesses dispositivos por meio da vulnerabilidade mencionada acima no serviço www.

Simplesmente atualizar o software RouterOS exclui o malware, qualquer outro arquivo de terceiros e fecha a vulnerabilidade. A atualização do RouterOS é feita com poucos cliques e leva apenas um minuto. Para estar seguro contra qualquer tipo de ataque no futuro, garanta o acesso seguro aos seus dispositivos.

Se você estava executando uma versão do RouterOS lançada antes de março de 2017 (6.37.5 no canal Bugfix ou 6.38.5 no canal Atual) e permitia acesso à interface da Web do dispositivo pela Internet, sugerimos as seguintes etapas:

Atualizar RouterOS
Mude sua senha
Proteja o seu dispositivo de acordo com o nosso guia oficial
O nome VPNfilter é apenas um nome de código do malware que foi encontrado (mais especificamente, um nome falso executável). O modus operandi desta ferramenta não tem relação com os túneis VPN.

Botnet Hajime

Chegou ao nosso conhecimento que uma botnet desonesta está atualmente varrendo endereços IP públicos aleatórios para encontrar portas Winbox (8291) e WWW (80) abertas, para explorar a vulnerabilidade descrita acima. Como todos os dispositivos RouterOS oferecem upgrades gratuitos com apenas dois cliques, recomendamos que você atualize seus dispositivos com o botão “Verificar atualizações”, caso ainda não tenha feito isso no último ano.

Seus dispositivos estarão seguros se a porta 80 estiver protegida por firewall ou se você tiver atualizado para v6.38.5 ou mais recente. Se você estiver usando nossos dispositivos de ponto de acesso doméstico com configuração padrão, eles são protegidos por firewall da fábrica, e você também deve estar seguro, mas atualize nunca menos.

PERGUNTAS FREQUENTES:

O que é afetado?

  • Webfig com porta padrão 80 e sem regras de firewall
  • O Winbox não tem nada a ver com a vulnerabilidade, a porta do Winbox é usada apenas pelos scanners para identificar os dispositivos da marca MikroTik. Em seguida, prossegue para explorar o Webfig através da porta 80.

Eu estou seguro?

  • Se você atualizou seu roteador nos últimos ~ 12 meses, você está seguro
  • Se você tivesse “serviço ip” “www” desativado: você está seguro
  • Se você tinha firewall configurado para a porta “80”: você está seguro
  • Se você só tinha Hotspot na sua LAN, mas o Webfig não estava disponível: você está seguro.
  • Se você só tinha o Gerenciador de usuários em sua LAN, mas o Webfig não estava disponível: você está seguro.
  • Se você tivesse outra porta do Winbox antes disso: você está seguro da verificação, mas não da infecção.
  • Se você tiver “winbox” desativado, estará a salvo da verificação, e não da infecção.

  • Se você tivesse “serviço ip” “permitido-de” configurado para rede específica: você está seguro se a rede não foi infectada.

  • Se você tivesse “Webfig” visível para a rede LAN, você poderia estar infectado por um dispositivo infectado em sua LAN.

Como detectar e curar?

  • Atualizando para v6.38.5 ou mais recente irá remover os arquivos ruins, pare a infecção e evitar qualquer coisa semelhante no futuro.
  • Se você atualizar o dispositivo e ainda perceber tentativas de acessar o Telnet a partir da sua rede – execute o Tool / Torch e descubra uma fonte do tráfego. Não será o próprio roteador, mas outro dispositivo na rede local que também é afetado e requer uma atualização.

 

Pingback: https://blog.mikrotik.com/security/www-vulnerability.html

Administrador AcessoWi-Fi.com – Gerente UnicoHost Soluções Web – Engenheiro de Redes

Julio Rossoni

Administrador AcessoWi-Fi.com - Gerente UnicoHost Soluções Web - Engenheiro de Redes

This site uses Akismet to reduce spam. Learn how your comment data is processed.