Menú

Hajime Botnet: Busca infectar en masa los dispositivos MikroTik sin parchear.

Hajime Botnet

Todo el alboroto comenzó el domingo 25 de marzo, cuando barridos sospechosos para el puerto 8291 aparecieron de la nada en todos los honeypots.

El puerto 8291 se encuentra típicamente abierto en routers MikroTik que no hayan sido actualizados a las versiones más nuevas del firmware (v6.38.5 en adelante) y un exploit sobre estos fue reportado en 2017 e incluído en el último WikiLeaks Vault7.

Los primeros en detectar los escaneos fueron investigadores del equipo Netlab de Qihoo 360, quienes dijeron hoy que esta botnet de Hajime realizó más de 860,000 escaneos en los últimos tres días, aunque no pudieron decir cuántos de estos escaneos también fueron infecciones exitosas.

La vulnerabilidad fue conocida como Chimay Red y se han visto casos de explotación durante 2017 donde algunas atacantes se aprovechaban para realizar ataques de deface en los dispositivos vulnerables. En esta ocasión se cree que el alcance fue de 860.000 dispositivos que, una vez infectados, son utilizados para seguir escaneando puertos en nuevas direcciones de IP. El fabricante lenzo parches específicos y nuevas versiones del firmware para corregir esto durante el último año.

Los atacantes usan Chimay Red exploit contra dispositivos MikroTik

El Bot tiene un mecanismo simple de exploración e infección

En cuanto a los intentos de infección del bot Hajime, esto sigue un patrón bastante simplista. Otros bots infectados de Hajime escanean direcciones IP aleatorias en el puerto 8291. Este escaneo inicial es para determinar si la IP remota está ejecutando un dispositivo MikroTik.

Una vez que el bot ha identificado uno de esos dispositivos, intenta infectar el dispositivo con un paquete de exploit público enviado a través de uno de los siguientes puertos: 80, 81, 82, 8080, 8081, 8082, 8089, 8181 y 8880.

Una vez que un nuevo dispositivo ha sido infectado con un bot Hajime, este nuevo dispositivo también comienza a escanear para infectar otros enrutadores MikroTik.

Cómo proteger nuestros routers MikroTik

MikroTik no tardó mucho en lanzar un parche de seguridad que corrigiera la vulnerabilidad en los modelos afectados. Sin embargo, como siempre suele ocurrir, que el parche esté disponible no significa que todos los usuarios estén protegidos, ya que el número de ellos que actualizó los dispositivos ha sido muy bajo.

Por ello, la mejor forma de protegernos de este fallo de seguridad y evitar que nuestro router MikroTik forme parte de una botnet es instalar esta actualización en los routers para corregir el fallo de seguridad en el componente Winbox. Además, si queremos, podemos restablecer los valores de fábrica del router de manera que, en caso de haber sido infectados, se elimine el exploit y, gracias a los parches, se evite que se vuelva a infectar.