Cómo proteger tu router MikroTik

Para proteger a los usuarios de MikroTik del botnet Mēris, o limpiar un router previamente infectado, los usuarios deben actualizar RouterOS y comprobar sus ajustes.

En los últimos días los ataques DDoS a gran escala en los que se utiliza un botnet llamado Mēris alcanzaron las casi 22 millones de solicitudes por segundo. De acuerdo con la investigación de Qrator, los dispositivos de red de MikroTik generaron una buena cantidad de tráfico de este botnet.

Una vez que analizaron la situación, los expertos de MikroTik no encontraron vulnerabilidades nuevas en los routers de la empresa; sin embargo, los anteriores todavía son una amenaza. Por lo tanto, para garantizar que tu router no se haya unido al botnet Mēris (o a cualquier otro botnet), necesitas seguir unas cuantas recomendaciones.

Por qué los dispositivos MikroTik se están uniendo al botnet

Hace algunos años, los investigadores de seguridad descubrieron una vulnerabilidad en los routers MikroTik: Winbox, una herramienta de configuración para los routers MikroTik mediante la cual muchos dispositivos se vieron comprometidos. Aunque MikroTik arregló la vulnerabilidad en el 2018, al parecer no todos los usuarios actualizaron sus routers.

Asimismo, incluso entre quienes lo hicieron, no todos siguieron las recomendaciones adicionales del fabricante que indicaban el cambio de la contraseña. Si un usuario no cambió la contraseña, entonces incluso el firmware actualizado podría permitir que los atacantes iniciaran sesión en el router y comenzaran a explotarlo de nuevo.

De acuerdo con MikroTik, los routers que ya están infectados con Mēris son los mismos dispositivos que fueron comprometidos en el 2018. La empresa publicó los indicadores de compromiso de dispositivo y emitió sus recomendaciones.

Cómo saber si tu router MikroTik es parte de un botnet

Cuando un router se une a un botnet, los ciberdelincuentes cambian varios ajustes en el firmware del dispositivo. Por lo tanto, la primera recomendación de MikroTik es revisar la configuración del dispositivo y comprobar lo siguiente:

  • Una regla que ejecuta el script con el método Fetch. Elimina esta regla (en Sistema → Programador), si está presente.
  • Un servidor proxy SOCKS  Puedes encontrar este ajuste en IP → SOCKS ; si no lo utilizas, desactívalo.
  • Un cliente L2TP llamado lvpn (o cualquier otro cliente L2TP que no te resulte familiar). Elimina también estos clientes.
  • Una regla de firewall que permite el acceso remoto mediante el puerto 5678. Elimina esta regla.

Recomendaciones para proteger tu router MikroTik

Las actualizaciones periódicas son una parte esencial de cualquier estrategia de defensa exitosa. Una buena parte de mantener la red de MikroTik segura es seguir las buenas prácticas generales de la seguridad de red.

  • Asegúrate de que tu router utilice la versión de firmware más reciente disponible y actualízala de forma periódica.
  • Desactiva el acceso remoto al dispositivo, a menos que lo necesites.
  • Configura el acceso remoto, de nuevo, si lo necesitas, mediante un canal de VPN. Por ejemplo, utiliza el protocolo IPsec.
  • Utiliza una contraseña de administración larga y segura. Incluso aunque tu contraseña actual sea segura, cámbiala, por si acaso.

En general, procede con el supuesto de que tu red de área local no es segura, lo que significa que si un ordenador se infecta, el malware puede atacar el router desde dentro del perímetro y obtener acceso forzado a las contraseñas. Por este motivo, recomendamos encarecidamente utilizar soluciones de seguridad de confianza en todas los ordenadores conectados a Internet.

Consejos