Wikileaks & MikroTik: Comunicado Oficial

En el día de ayer, Wikileaks publicó una series de documentos donde hacen referencia al “Vault 7“, un exploit que supuestamente permite tener acceso a los sistemas operativos, entre ellos, MikroTik RouterOS.

Hoy día MikroTik ha brindado un reporte oficial y comenta que de acuerdo a los documentos liberados, la CIA supuestamente tiene una herramienta que puede inyectar código malicioso al RouterOS, si la interface publica del router no tiene el puerto 80 cerrado por firewall. Este exploit es llamado “ChimayRed“.

Del documento de Wikileaks:
https://wikileaks.org/ciav7p1/cms/page_20250630.html

“ROS 6.28 has a Firewall Filter Rule to drop access to WAN side ethernet port. This was disabled in order to throw ChimayRed”

“El RouterOS 6.28 tiene una regla de firewall que deniega el acceso al puerto ethernet desde la WAN. Esto fue deshabilitado con el fin de lanzar ChimayRed”

Lo anterior comenta que para poder ejecutar el exploit es necesario desactivar la regla que viene por defecto en el firewall.

Por lo que parece este exploit no es funcional por la versión del RouterOS v6.30.1 (publicada el 2015-07-15) o superior.

Del documento de Wikileaks:
https://wikileaks.org/ciav7p1/cms/page_20251203.html

“Downgraded to ROS 6.30.1. ChimayRed does not support 6.30.2”

 

Debido a que ninguna de las herramientas y/o malwares mencionados en la divulgación inicial de Vault7 han sido puestos a disposición por Wikileaks, actualmente no está claro si el malware trata de explotar cualquier vulnerabilidad en las actuales versiones del RouterOS (v6.38.4 y v6.37.5). Seguiremos fortaleciendo los servicios de RouterOS y ya se ha lanzado la v6.38.4 que elimina cualquier archivo malicioso en el dispositivos que pueda haber sido comprometido. MikroTik seguirá a Wikileaks para cualquier información nueva sobre este exploit.

What’s new in 6.38.4 (2017-Mar-08 09:26):
*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;

 

La mayoría de los RouterBOARDs vienen con un firewall por defecto que protege cualquier acceso malicioso desde la interface publica. Si se deshabitan esas reglas, o se limpia la configuración por defecto, se debe aplicar una regla de firewall que deniegue el acceso al dispositivo en el puerto 80. Actualizar a la ultima versión de RouterOS y seguir las guías de protección de la documentación oficial, limitando el acceso a sus propios IPs y deshabitando los servicios que no se utilicen.

Vía MikroTik.