El fabricante letón de equipos de red MikroTik ha compartido detalles sobre cómo los clientes pueden proteger y limpiar los enrutadores comprometidos por la enorme botnet Mēris DDoS durante el verano.
"Por lo que hemos visto, estos ataques utilizan los mismos enrutadores que se vieron comprometidos en 2018, cuando MikroTik RouterOS tenía una vulnerabilidad, que fue rápidamente parcheada", dijo un portavoz de MicroTik a BleepingComputer.
"Desafortunadamente, cerrar la vulnerabilidad no protege inmediatamente a estos enrutadores. Si alguien obtuvo su contraseña en 2018, solo una actualización no ayudará.
"También debe cambiar la contraseña, volver a verificar su firewall si no permite el acceso remoto a partes desconocidas y buscar scripts que usted no creó".
Botnet de IoT con esteroides
La botnet Mēris ha estado detrás de dos ataques DDoS volumétricos (también conocidos como capa de aplicación) que batieron récords este año.
El primero mitigado por Cloudflare en agosto alcanzó 17,2 millones de solicitudes por segundo (RPS). El segundo alcanzó su punto máximo a una tasa sin precedentes de 21,8 millones de RPS mientras golpeaba los servidores del gigante ruso de Internet Yandex a principios de este mes.
Según los investigadores de Qrator Labs que proporcionaron detalles sobre el ataque Yandex, Mēris, una botnet derivada del código de malware Mirai, ahora controla aproximadamente 250.000 dispositivos, la mayoría de ellos enrutadores y puertas de enlace de red MikroTik.
Los investigadores también agregaron que los hosts comprometidos por Mēris "no son la típica luz intermitente de IoT conectada a WiFi", sino dispositivos de alta capacidad conectados a Internet a través de una conexión Ethernet.
El historial de ataques de Mēris contra la red de Yandex comenzó a principios de agosto con un ataque DDpS de 5.2 millones de RPS y siguió aumentando de tamaño:
-
2021-08-07 - 5.2 millones de RPS
-
2021-08-09: 6.5 millones de RPS
-
2021-08-29: 9,6 millones de RPS
-
2021-08-31 - 10,9 millones de RPS
-
2021-09-05: 21,8 millones de RPS
Cómo asegurar y limpiar su enrutador MikroTik
MikroTik también compartió información sobre cómo limpiar y asegurar las puertas de enlace comprometidas por esta botnet en una publicación de blog publicada hoy.
El proveedor de equipos de red insta a los clientes a que elijan contraseñas seguras que defiendan sus dispositivos de los ataques de fuerza bruta y los mantengan actualizados para bloquear los exploits de Winbox CVE-2018-14847 probablemente utilizados por la botnet Mēris, según MikroTik.
La compañía describió el mejor curso de acción, que incluye los siguientes pasos:
-
Mantenga su dispositivo MikroTik actualizado con actualizaciones periódicas.
-
No abra el acceso a su dispositivo desde el lado de Internet para todos, si necesita acceso remoto, solo abra un servicio VPN seguro, como IPsec.
-
Use una contraseña segura e incluso si la usa, ¡cámbiela ahora!
-
No asuma que se puede confiar en su red local. El malware puede intentar conectarse a su enrutador si tiene una contraseña débil o no tiene contraseña.
-
Inspeccione la configuración de su RouterOS en busca de configuraciones desconocidas.
Las configuraciones que el malware Mēris puede establecer al reconfigurar enrutadores MicroTik comprometidos incluyen:
-
Sistema -> Reglas del programador que ejecutan un script de recuperación. Elimínelos.
-
IP -> Calcetines proxy. Si no usa esta función o no sabe lo que hace, debe deshabilitarla.
-
Cliente L2TP llamado "lvpn" o cualquier cliente L2TP que no reconozca.
-
Ingrese la regla de firewall que permite el acceso al puerto 5678.
"Hemos intentado llegar a todos los usuarios de RouterOS sobre esto, pero muchos de ellos nunca han estado en contacto con MikroTik y no están monitoreando activamente sus dispositivos. También estamos trabajando en otras soluciones", agregó MikroTik.
"Hasta donde sabemos en este momento, no hay nuevas vulnerabilidades en estos dispositivos. RouterOS ha sido auditado recientemente de forma independiente por varios contratistas".
