Bug via IPV6 derruba roteadores Mikrotik

Os roteadores Mikrotik, muito populares entre os provedores de acesso, têm um problem grave segundo um pesquisador: eles podem ser derrubados por meio de um acesso via IPV6. O problema não é novo: ele foi informado à empresa em Abril do ano passado, mas até agora a Mikrotik não corrigiu o problema. Agora, o pesquisador que descobriu a falha, Marek Isalski, vai publicá-la na conferência UK Network Operators’ Forum, dia 9 de Abril, em Manchester, Inglaterra.

O problema está no sistema operacional RouterOS V7, e já tem até CVE reservado: é o CVE-2018-19299. O problema ganhou um score de 9.3 no CVSS. Segundo Isalski, a Mikrotik fez mais de 20 updates depois da comunicação dele, e não trouxe uma solução para esse problema alegando que é bug e não vulnerabilidade de segurança. De acordo com um post no fórum de usuários da MikroTik, a vulnerabilidade é “um problema de exaustão de memória. Você envia um pacote v6 formado de certa forma para um roteador Mikrotik e o kernel vaza um pouco de memória. Quando a memória se esgota,  o watchdog reinicia o dispositivo. Não há como barrar com firewall, porque seja qual for a característica que causa o problema ele pode ser criado com qualquer pacote IPv6”.

O pesquisador conta que o problema permite a um atacante remoto derrubar qualquer dispositivo Mikrotik caso possa acessá-lo via IPv6. “Mesmo com o firewall, você ainda é um pato sentado”, afirma. Num post no forum da Mikrotik, ele fez uma convocação aos colegas: “Como uma comunidade, é absolutamente crítico que nós pressionemos o Mikrotik para uma solução deste problema como uma questão de extrema urgência. As conseqüências de que isto vaze antes de uma correção estar disponível seria desastrosa para todos nós. Todos prestem atenção e ajudem a garantir que o Mikrotik entenda como esse problema é crítico”.

Embora a publicação ainda não tenha sido feita, o problema já está inquietando provedores. Por conta disso, o engenheiro Antonio Marcos Moreiras, do NiC BR e um dos evangelistas do IPv6 no Brasil, gravou um vídeo recomendando que ninguém se precipite. Assista:

Coinhive já contamina 415 mil roteadores MikroTik

mapa de contaminação mikrotik
mapa de contaminação mikrotik
Mapa de contaminação dos roteadores

No vale tudo para ganhar dinheiro, muita gente está escravizando os roteadores MicroTik com o script Coinhive para minerar a criptomoeda Monero. Em Agosto deste ano o total de roteadores estava por volta de 170 mil mas acaba de se aproximar de 415 mil segundo os pesquisadores e grande parte está no Brasil. A razão para isso está na valorização das criptomoedas. O Monero é especialmente de interesse do cibercrime porque oferece privacidade nas transações. Já no Bitcoin não: é possível conhecer os saldos e movimentações de uma carteira simplesmente pelo seu número. O blockchain do Bitcoin exibe tudo.

Embora a ameaça do malware esteja se expandindo, ela afeta apenas os usuários dos roteadores MikroTik, mas o número é bastante elevado. O problema pode piorar se ao invés de minerar Monero os roteadores começarem a disparar ataques DDoS.

Inicialmente a maioria dos roteadores comprometidos estava concentrada no Brasil, mas à medida que a infecção se expandiu foram contaminados roteadores na América do Norte, América do Sul, África, Europa, Oriente Médio e Ásia. A contaminação é mostrada no mapa traçado pelo Shodan.

Os roteadores MikroTik são amplamente vendidos para provedores e organizações de serviços de Internet, e o aumento nas infecções de roteadores mostra que poucas organizações instalaram o firmware mais recente, que fecha as possibilidades de invasão.

Ao explorar uma falha de segurança em versões mais antigas do firmware do roteador, o invasor consegue injetar o script Coinhive em todas as páginas da Web visitadas por um usuário. A falha existe até a versão 6.42 do firmware – ela permite que atacantes remotos não-autenticados leiam arquivos e que atacantes remotos autenticados gravem arquivos, devido a uma vulnerabilidade cruzada de diretório na interface WinBox, segundo a  National Vulnerability Database dos Estados Unidos. Embora o Coinhive tenha sido inicialmente concebido como um software legítimo para permitir que os sites “pedissem emprestado” temporariamente o hardware de um visitante para o Monero, o abuso do script (utilização do hardware do visitante sem a sua autorização) levou muitos softwares antivírus a bloquear seu uso.

Embora a “bolha” das criptomoedas tenha estourado, o cryptojacking continua sendo uma séria ameaça à segurança. Em um incidente no mês passado, a Universidade St. Francis Xavier, na Nova Escócia, Canadá, foi forçada a suspender suas atividades na rede porque descobriu-se que um hacker havia invadido o sistema da universidade para roubar recursos de computação para minerar Bitcoin.