Protección de enrutador para los usuarios de MikroTiK

Para proteger a los usuarios de MikroTik del botnet Mēris, o limpiar un enrutador previamente infectado, los usuarios deben actualizar RouterOS y verificar las configuraciones.

En estos días los ataques DDoS a gran escala en los que se utiliza un botnet llamado Mēris alcanzaron las casi 22 millones de solicitudes por segundo.  De acuerdo con la investigador de Qrator, los dispositivos de red de MikroTik generaron un buena cantidad de tráfico del botnet.

Una vez que analizaron la situación, los expertos de MikroTik no encontraron vulnerabilidades nuevas en los enrutadores de la empresa; sin embargo, las anteriores todavía son una amenaza. Por lo tanto, para garantizar que tu enrutador no se haya unido al botnet Mēris (o a cualquier otro botnet), necesitas seguir unas cuantas recomendaciones.

Por qué los dispositivos MikroTik se están uniendo al botnet

Hace algunos años, los investigadores en seguridad descubrieron una vulnerabilidad en los enrutadores MikroTik: Winbox, una herramienta de configuración para los enrutadores MikroTik mediante los cuales muchos dispositivos se vieron comprometidos. Aunque MikroTik arregló la vulnerabilidad en el 2018, al parecer no todos los usuarios actualizaron sus enrutadores.

Así mismo, incluso entre quienes lo hicieron, no todos siguieron las recomendaciones adicionales del fabricante sobre cambiar la contraseña. Si un usuario no cambió la contraseña, entonces incluso el firmware actualizado podría permitir que los atacantes iniciaran sesión en el enrutador y comenzaran a explotarlo de nuevo.

De acuerdo con MikroTik, los enrutadores que ya están infectados con Mēris son los mismos dispositivos que fueron comprometidos en el 2018. La empresa publicó indicadores de dispositivo comprometido y emitió recomendaciones.

Cómo saber si tu enrutador MikroTik es parte de un botnet

Cuando un enrutador se une a un botnet, los cibercriminales cambian varios ajustes en el firmware del dispositivo. Por lo tanto, la primera recomendación de MikroTik es revisar la configuración del dispositivo y verificar lo siguiente:

  • Una regla que ejecuta el script con el método Fetch (). Elimina está regla (en Sistema → Programador), si está presente.
  • Un servidor proxy SOCKS  Puedes encontrar el ajuste en IP → SOCKS ; si no lo utilizas, desactívalo.
  • Un cliente L2TP llamado lvpn (o cualquier otro cliente L2TP que no sea familiar para ti). Elimina también estos clientes.
  • Una regla de firewall que permite el acceso remoto mediante el puerto 5678. Elimina está regla.

Recomendaciones para proteger tu enrutador MikroTik

Las actualizaciones regulares son parte esencial de cualquier estrategia de defensa exitosa. Una buena parte de mantener la red de MikroTik segura es seguir las mejores prácticas generales de seguridad de red.

  • Asegúrate de que tu enrutador utilice la versión de firmware más reciente disponible, y actualízala de manera periódica.
  • Desactiva el acceso remoto al dispositivo, a menos que en verdad lo necesites.
  • Configura el acceso remoto, de nuevo, si en verdad lo necesitas, mediante un canal de VPN. Por ejemplo, utiliza el protocolo IPsec.
  • Utiliza una contraseña de administración larga y segura. Incluso si tu contraseña actual es segura, cámbiala ahora, por si acaso.

En general, procede con el supuesto de que tu red de área local no es segura, lo que significa que si una computadora se infecta, entonces el malware puede atacar el enrutador desde dentro del perímetro y obtener acceso forzado a las contraseñas. Por este motivo, recomendamos encarecidamente utilizar soluciones de seguridad de confianza en todas las computadoras conectadas a Internet.

Consejos