Cuatro meses después de que se lanzara un parche de seguridad para los enrutadores MikroTik, algunos de los usuarios de los dispositivos que ignoraron corregir la vulnerabilidad ahora se han convertido en mineros involuntarios de Monero .

Conocido como CVE-2018-14847, la falla de seguridad en los enrutadores MikroTik está siendo explotada con miras a instalar el script de minería de cifrado de Coinhive en los sitios web que visitan los usuarios de los dispositivos. De acuerdo con los investigadores de ciberseguridad en SpiderLabs, decenas de miles de enrutadores sin parche en Brasil se vieron afectados inicialmente, aunque el número está aumentando rápidamente y se está extendiendo por todo el mundo.

La vulnerabilidad en los enrutadores MikroTik Ethernet y Wi-Fi permite eludir la autenticación de atacantes remotos que luego pueden leer y modificar archivos arbitrarios. Fue descubierto en abril de este año y el fabricante del enrutador emitió un parche poco después.

Comenzó en Brasil

Inicialmente, se descubrió que la primera clave de sitio de Coinhive se había utilizado en 175,000 enrutadores principalmente en Brasil, pero una nueva clave del mismo script de minería se inyectó en los enrutadores y hasta ahora ha afectado a 25,000 enrutadores adicionales en el país de Moldavia , en Europa oriental . de acuerdo con el investigador de seguridad Troy Mursch. No está claro si es el mismo atacante responsable de la última fase del ataque o un imitador.

https://twitter.com/bad_packets/status/1024963272355676160

Originalmente, los scripts de Coinhive se estaban inyectando en todas las páginas web visitadas por un usuario. Sin embargo, en un intento por reducir las posibilidades de detección, el atacante solo recurrió a la instalación de los scripts de minería de criptomoneda en páginas de error personalizadas. Otras técnicas utilizadas por el atacante para evitar la detección incluyen la emisión de comandos de limpieza después de comprometer los enrutadores para dejar una huella tan pequeña como sea posible.

Gran cantidad de enrutadores MikroTik no parcheados

Aunque la campaña cryptojacking se dirige principalmente a Brasil , también se está extendiendo por todo el mundo con el potencial de comprometer muchos más enrutadores MikroTik. Se estima que un número significativo de enrutadores MikroTik de todo el mundo no han sido reparados cuatro meses después de la publicación del parche de seguridad.

“Hay cientos de miles de estos dispositivos en todo el mundo, en uso por los ISP y diferentes organizaciones y negocios, cada dispositivo sirve al menos a decenas o cientos de usuarios al día”, escribió Simon Kenin, investigador de seguridad de SpiderLabs en un blog. enviar.

Además, el ataque funciona en ambos sentidos. Dado que está dirigido a enrutadores MikroTik vulnerables, también afecta a los sitios web alojados en servidores que utilizan dispositivos comprometidos y, por lo tanto, los usuarios que no están directamente conectados a los dispositivos infectados desde cualquier ubicación geográfica también son vulnerables.

“Como se mencionó, los servidores que están conectados a enrutadores infectados también, en algunos casos, devolverán una página de error con Coinhive a los usuarios que visitan esos servidores, sin importar desde qué lugar de Internet están visitando”, señala Kenin.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here