Vulnerabilidad RCE en MikroTik Winbox: Actualización y Recomendaciones

Análisis de la vulnerabilidad CVE-2018-14847 en MikroTik Winbox y las medidas de seguridad recomendadas por el fabricante para proteger los dispositivos RouterOS.

Raúl Aragón
VentasNetworkingWirelessMikrotik

Un investigador de seguridad cibernética de Tenable Research ha desarrollado un nuevo ataque de ejecución remota de código (RCE) mediante una prueba de concepto (PoC). Este ataque explota una vulnerabilidad de cruce de directorios identificada originalmente en abril de este año. Aunque el fallo inicial fue parchado rápidamente, este nuevo método lleva la explotación un paso más allá, aprovechando la misma debilidad subyacente.

Contexto de la vulnerabilidad CVE-2018-14847

El problema original en Winbox, identificado como CVE-2018-14847, fue corregido en abril. Sin embargo, la reciente demostración de Tenable Research subraya la importancia de mantener los sistemas actualizados. Se invita a todos los usuarios de MikroTik® a actualizar sus dispositivos a las versiones más recientes de RouterOS. Como medida de precaución adicional, es fundamental cambiar las contraseñas e inspeccionar la configuración en busca de registros no autorizados o ajenos a la operación habitual.

Es importante destacar que las entradas CVE lanzadas recientemente ya han sido corregidas en RouterOS durante varios meses. Ninguno de los problemas tratados recientemente afecta a los productos actuales que se mantienen al día con las actualizaciones de firmware.

Recomendaciones de seguridad de MikroTik®

Para garantizar la integridad de la red y los equipos, MikroTik® sugiere seguir las siguientes pautas de seguridad:

  • Firewall predeterminado: Todas las versiones de RouterOS que mantienen habilitado el firewall predeterminado no son vulnerables a este exploit, independientemente de la versión utilizada.
  • Configuración manual: Si el usuario ha deshabilitado manualmente el firewall predeterminado, el dispositivo podría estar expuesto al CVE-2018-14847, el cual fue parcheado en abril.
  • Naturaleza del exploit: El ataque recientemente revelado se basa en el problema anterior, ya solucionado mediante parches.
  • Acciones inmediatas: Actualice el firmware, cambie las contraseñas de acceso e inspeccione la configuración del dispositivo para detectar cualquier irregularidad o configuración extraña.

Para más detalles técnicos, consulte el artículo original publicado el 9 de octubre de 2018: https://bit.ly/2RX85po

Volver al Blog