Mikrotik, cuidado com as falhas de segurança. A segurança dos dados da empresa podem estar em condição critica! Assim desta forma os ataques via internet podem estar colocando sua empresa em risco. O Mikrotik tem a função de estabelecer uma fronteira entre a INTERNET e a EMPRESA. Desta forma criando um conceito de segurança e auditoria para qualquer acesso.
O dispositivo Mikrotik é um serviço de controle de acesso digital na fronteira da rede. Portanto a funcionalidade mais importante é garantir que a REDE de COMPUTADORES da empresa esteja protegida para da REDE PÚBLICA, assim como dos Cyber Criminosos. Ao passo que a falta de atualização no kernel do dispositivo pode, diante da vulnerabilidade, permitir a conexão de criminosos cibernéticos.
Sem atualização pode ser uma porta aberta para cyber ataques!
Assim sendo a vulnerabilidade permite que o dispositivo seja acessado e libere acesso a rede interna. Como resultado cria uma condição de quebra da segurança da informação.
De fato a solução está em promover a atualização de segurança que já está disponível. De tal forma que a atualização de segurança é um item que precisa ser prioridade das equipes de TI. Com o propósito de além de corrigirem falhas de códigos, melhoram a segurança, customizando soluções para as vulnerabilidades já descobertas.
Em outras palavras a importância de análise sobre a segurança deste ativo de rede é grande. Com a condição favorável de investimento baixo, com resultado bem eficiente, dependendo da expectativa, muitas empresas adotaram. Fisicamente colocado na fronteira, segmentando a rede pública da privada. Estabelecendo uma seção digital de gestão de acesso.
Mikrotik falha de segurança
Segundo o site REMOÇÃO VÍRUS publicada em 19 de março de 2018, foi encontrada a vulnerabilidade de estouro de buffer explorável remotamente que afeta as versões antigas do Mikrotik RouterOS. Esta vulnerabilidade de estouro de buffer é controlada como CVE-2018-7445. Registra ainda no post, que esta condição permite ao usuário remoto executar código arbitrário no sistema.
De acordo com a equipe de pesquisadores, ainda segundo o site REMOÇÃO VÍRUS: “Um estouro de buffer foi encontrado no serviço SMB MikroTik RouterOS, durante o processamento de mensagens de solicitação de sessão NetBIOS. Atacantes remotos com acesso ao serviço poderam explorar esta vulnerabilidade e ganharam a execução de código no sistema.”
De tal forma que os hackers comprometem o roteador primeiro. Depois um dos seus DDLs substitui o sistema de arquivos por um mal intencionado. Alem disso carrega a biblioteca na memória do computador de destino e para finalizar, o arquivo DLL é executado no computador da vítima. Assim sendo com a biblioteca ativada se conecta a um servidor remoto para baixar a carga final: o malware de estilingue.
Computadores brasileiros somam 51% dos atacados
Ao mesmo tempo a falha de segurança também foi reportada no site MBNUNES informando dos acontecimentos no Brasil. Em princípio o registro aponta que o ataque veio através da Internet das Coisas (IoT). De acordo com a informação que veio da empresa Radware que é especializada em ataques de negação de serviço fala da quantidade. Com toda certeza que mais de sete mil sistemas brasileiros participaram deste ataque. Dessa forma especificou, ainda, que dos equipamentos participando do ataque, 51% foram computadores brasileiros.
A informação é que o propósito, seja aumentar o número de equipamentos controlados. De fato os dispositivos Mikrotik são os principais alvos. Em resumo sem a devida atualização de segurança, acabam permitindo através da falha de segurança a sua submissão.
O site ABCTEC também reportou a falha dos dispositivos Mikrotik com a descoberta de uma rede “zumbi”, uma botnet formada por dispositivos IoT (Internet das Coisas). A falha que justificou a participação dos dispositivos Mikrotik, é a não atualização do sistema para a versão RouterOS v6.38.4. Esta atualização corrige uma falha já conhecida, há mais de um ano já identificada pelo grupo de pesquisa da Kaspersky batizada como Hajime. A falha explorava os sistemas Mikrotik (HTTP, SMB), assim como ataques de força bruta de senha.
O que é preciso fazer?
O sistema malware, através de um mecanismo de propagação eficiente, força agressivamente a porta 8291. Ou seja, faz isto para identificar dispositivos Mikrotik publicados e promover a condição do ataque. Além da porta 8291, também as portas 80, 81, 82, 8080, 8081, 8082, 8089, 8181, 8880 estão sendo forçadas.
Nesse sentido a recomendação é bloquear as portas sobre ataque e atualizar os dispositivos para a versão 6.43rc4 ou no mínimo superior a V6.38.4.
A notícia também foi publicada no G1 “Novo ataque a Internet das Coisas registra atividade no Brasil” complementando as notícias que apontam que o Brasil é o segundo pais mais infectado pelo Vírus Mirai. Agora, com a nova versão da Redes-Zumbi, se tornou o primeiro neste ranque nada bom, de equipamentos sobre ataque.
Antes que aconteça vale ser preventivo e conhecer o Mapa de Risco. Assim sendo um tema relevante para evitar que tenha re trabalho consertando o contexto de TI e produção após uma incidência de vulnerabilidade atacada. Em suma o POST sobre Mapa de Risco pode gerar conhecimento e tornar mais robusto e protegido a informática na sua empresa.
Funcionalidades que fizeram o Mikrotik tão relevante!
Em contrapartida a condição do tema vulnerabilidade. Com o intuito de demonstrar a relevância e importancia deste ativo de rede. De tal forma que as funcionalidades não podem ser deixadas de lado e foram bem retratadas no site Under-Linux A condição de como e porque da utilização tão disseminada, sendo uma caixa preta, com tantos recursos e uma referência na Segurança da Informação como serviço de fronteira.
Para a administração deste ambiente, os seguintes métodos estão disponíveis:
- Console (CLI) — todas as funções podem ser configuradas via linha de comando (teclado e monitor ou remoto)
- Winbox (GUI) — software de configuração que roda em plataforma Windows, Linux ou Mac. Oferece uma sofisticada GUI para o sistema permitindo, também conexões FTP e Telnet, além de acesso por SSH.
- WEB (remoto) — configuração em ambiente web, porém limitado
- Dude — software que permite a criação e manutenção de toda a rede. Permite o mapeamento da rede e também monitora em tempo real a banda dos links e funciona como ferramenta de monitoramento, indicando quando hosts estão ativos ou caídos.
Outras funções/modos de operação são:
- Roteador dedicado
- Bridge com filtros em layer2
- Firewall com layer7 e diversos filtros
- Controle de velocidade, garantia de banda, burst, hierarquia e disciplinas de filas
- Ponto de Acesso Wireless modo 802.11 e proprietário, cliente wireless
- WDS, NSTREME, NSTREME Dual
- Concentrador PPPoE, PPtP, IPSeC, L2TP, etc.
- Roteador de Borda
- Servidor Dial-in e Dial – out
- Hotspot e gerenciador de usuários
- EB Proxy (cache de páginas e arquivos)
- Recursos de Bonding, VRRP, etc.
- Virtualização com Xen e MetaRouter
- Linguagem avançada de scripts
- Roteamento com OSPF, MPSL, BGP, etc.
- Ferramentas: watchdog, bandwidth test, torch
#ficadicca de outros conteúdos no blog INDICCA
Mikrotik – Servidor de Fronteira
Fique atento aos dispositivos MikroTik e às falhas de segurança
Crie uma rede privada virtual através dos dispositivos MikroTik
Editado 27/12-2019 Pedro
