Fugas de Informacin en los Routers Mikrotik

Cuando se quiere realizar un APT (Advanced Persistent Threat) a una empresa o a una
organizacin, uno de los aspectos fundamentales es conocer su esquema de
direccionamiento IP interno que utiliza y, si es posible, cul es su arquitectura de red para,
por ejemplo, ver si tienen zonas desmilitarizadas y a partir de ah poder inferir cuntos
routers/firewall configuran su sistema de proteccin perimetral.

A parte de lo anterior, resulta muy interesante conocer, si es posible, el nombre de alguno

de sus empleados y, por qu no, tambin el del administrador o administradores de la
propia red.

Con toda esta informacin se puede plantear incluso el realizar algn ataque de Ingeniera
Social.

Router Mikrotik

Estos routers son muy conocido dentro de las redes debido a su buen funcionamiento y
bajo coste y son una alternativa a otro tipo de marcas en elementos de electrnica de red
como puede ser CISCO. El sistema operativo que incorporan estos dispositivos es
RouterOS y trae muchas caractersticas avanzadas de configuracin.
 Figura 2. Sistema operativo RouterOS y servicio asociado al puerto 80 TCP.

Entre las caracterstica que incorpora RouterOS, cuenta con un servidor web que sirve
para una configuracin ms cmoda con un entorno grfico bajo HTTP ms agradable,
en lugar de utilizar los comandos propios del sistema operativo a travs de una shell.

Es precisamente la configuracin por defecto de este servicio el que va a permitir realizar

el descubrimiento de recursos de la red de la organizacin como veremos a continuacin.

Bsqueda de un patrn para realizar Dorking

Para poder aplicar tcnicas de dorking, el primer paso es buscar un patrn comn a estos
dispositivos a partir del cual poder extraer ms informacin utilizanzo los principales
motores de bsqueda. Para ello, lo primero es obtener direcciones IP de estos dispositivos,
por ejemplo, utilizando Shodan.

Figura 3. Bsqueda de routers Mikrotik.

Una vez localizados estos dispositivo, lo siguiente ser tratar de obtener el nombre de los
recursos que estn en su servidor web, como pueden ser nombres de ficheros, de
directorios, etctera. El nombre de estos recursos y el comportamiento del servidor web
sern quines nos den el patrn para las tcnicas posteriores de dorking.
Para el descubrimiento de estos recursos, empleamos tcnicas de spidering. ZAProxy es
una buena herramienta para realizar el descubrimiento de recursos:
 Figura 4. Recursos descubiertos por el spider de ZAProxy.

La peticin que genera la respuesta anterior es http://115.x.x.x/graphs/, luego

un posible patrn a utilizar en las tcnicas de dorking puede ser para el texto Traffic and
system resource graphing y para la url graphs. Usando Google, podemos emplear el
siguiente dorking:

Figura 5. Resultados despus de realizar Google Hacking.

Uno de los resultados devueltos por Google es el siguiente:

 Figura 6. Router Mikrotik con 5 interfaces de red.

Observamos cmo, debido a una configuracin insegura por defecto del servidor web del
router, podemos ver el nmero de las interfaces de red y el nombre de cada una de las
redes que comunica. De la informacin anterior, podemos inferir que es un nico router
quien comunica la red interna de la organizacin con la DMZ y los recursos de la DMZ
con Internet.
Adems, es muy probable que tenga un firewall con reglas de entrada y salida para el
trfico de la organizacin. Si pinchamos encima de una de las interfaces, podemos ver el
trfico de red que pasa por ella:

Figura 7. Trfico de red que atraviesa la interfaz de la DMZ de la organizacin

Es ms, a partir de la informacin de las interfaces de red podemos inferir un posible

esquema perimetral de defensa de la organizacin:
Figura 8. Diagrama retro de la posible defensa perimetral de la red de la organizacin.

IP Private Disclosure polticas

Los resultados anteriores son consecuencia de una mala configuracin por defecto del
servidor web que permite hacer un listing de los recursos que almacena.
Esta situacin se puede aprovechar para intentar extraer tambin cul es el esquema de
direccionamiento interno de la organizacin aplicando tcnicas de hacking con
buscadores con los dorkings que hemos comentado anteriormente.
Slo tenemos que aadir los prefijos de direccionamiento privado que queramos
encontrar. Por ejemplo, si queremos extraer el esquema de direccionamiento privado
sobre IPv4 para una red de clase C, podemos emplear el siguiente dorking:

Figura 9. Extraccin de direccionamiento privado de clase C sobre IPv4.

Seleccionando uno de los resultados devueltos por Google, podemos ver cul es el
esquema de direccionamiento interno de la red interna, as como tener acceso a datos
referentes a uso de CPU, memoria y almacenamiento en disco.

Figura 10. Informacin de la red interna de la organizacin.

En la figura anterior puede verse que, asociada a cada una de las direcciones IP de la red
interna, es posible que stas tengan algn tipo de poltica en las colas relacionada con la
QoS (Quality of Service), seguramente relacionadas con la velocidad de subida y de
bajada.

Figura 11. Poltica de velocidad de transferencia asociada a una direccin IP (I).

Si consultamos cul es la poltica asociada a otra de las direcciones IP interna de la

organizacin, observamos cmo, en este caso, la velocidad de transferencia es diferente:
 Figura 12. Poltica de velocidad de transferencia asociada a una direccin IP (II).

Observamos como la velocidad mxima permitida para la mquina con direccin IP

192.168.0.5 es mayor que la vinculada a la 192.168.0.14. Si alguien dentro de la
organizacin quisiera tener ms velocidad de transferencia, nicamente tendra que
consultar cules son las direcciones IP que disfrutan de este privilegio, y cambiar su
direccin IP, siempre y cuando se tengan los permisos para modificar la configuracin de
la interfaz de red, la direccin IP no est ocupada, etctera.

Extraccin del nombre de los posibles trabajadores de la organizacin

Hay veces en que los administradores de red ponen nombres de personas a las polticas
aplicadas a cada una de las colas asociadas a las direcciones IP de las mquinas.
Es por ello que si probamos con los dorkings anteriores a buscar el nombre de personas,
es posible que encontremos el de alguno de los posibles miembros de esa organizacin,
como se muestra en las siguientes figuras:

Figura 13. Nombres de personas vinculados a las polticas de las colas (I).
 Figura 14. Nombres de personas vinculados a las polticas de las colas (II).

Es ms, pulsando en el nombre de las personas anteriores podemos obtener informacin

de su direccin IP interna (direccionamiento privado IPv4 de clase A) y de cul es la
poltica de velocidad de transferencia que tienen asignada.

Figura 15. Caractersticas del trfico de red para una persona en concreto.

En la figura anterior podemos ver adems, para una persona en concreto, en qu franjas
horarias se han producido los mayores picos de descarga. Puede que se produzcan al
entrar al puesto de trabajo, despus de la comida o incluso despus del almuerzo.
Y es ms, a partir del nombre de posibles miembros de la organizacin, se podra obtener,
por ejemplo, informacin relativa a una posible matrcula de su posible coche:

Figura 16. Posible personal de la organizacin.

Figura 17. Posible matrcula de coche relacionada con el auto de una posible infraccin.

Conclusiones

Para evitar toda la fuga de informacin que hemos visto en este artculo y poder obtener
informacin ms sensible como el direccionamiento interno de una organizacin,
polticas de calidad de servicio en su red interna, posibles nombres y apellidos de
miembros de la organizacin, inicialmente podra pensase acceder al router para su
administracin nicamente a travs del servicio SSH, es decir, dejar nicamente el puerto
22 TCP abierto para la administracin del dispositivo y nunca hacerlo mediante el servicio
HTTP.
An as, como vimos los que hicimos el curso Attack and Hardening en GNU Linux, si
se quiere una administracin remota del sistema, para cualquier puerto de administracin,
podra establecerse permisos nicamente para un pool de direcciones IP fijas y de
confianza o, simplemente, realizar la administracin del dispositivo desde la red interna
de la organizacin, nunca desde Internet.

Amador Aparicio de la Fuente

@amadapa

P.D:Algunos comentarios de gente que trabaja con los routers Mikrotik:

En mi empresa usamos Mikrotik a Go Go, y jamas me habia dado cuenta de este detalle.
Es mas sin usar ZapProxy, directamente desde el interfaz web y sin hacer login tienes a
disposicion un icono "graphs" que te da acceso directo a esta info.

Tambien tengo que decir que el servicio de "Graphs" por defecto viene vacio, por lo que
salvo que lo hayas creado a proposito esa info no la tienes por defecto, pero si esta claro
que es una cagada. Y mayor cagada es para un admin no desactivar cualquier puerto de
administracion, como minimo desde Inet restringirlo a VPN o otro tipo de acceso
restringido y mucho mas un servicio web que es tan propenso a contener
vulnerabilidades.

Con la URL asociada al icono graphs de la web de acceso al panel de

administracin es otra va, pero esto lo descubr en junio jugando con zaproxy,
por eso he decidido optar por este enfoque.

The graphs are not enabled by default. The user manually (knowingly) added the public
interface to the allowed viewers list.

Hace aos que trabajamos con Mikrotik, y para la administracin usamos su consola
winbox, por lo que ni siquiera el ssh est activado y el nivel de seguridad lo pones t
mismo, con lo cual no es una fuga de informacin sino ms bien, mal uso de los
administradores. Los parmetros graph no vienen activos de inicio, por lo que si los vas
a usar, hay que asegurarlos antes, por ejemplo, permitiendo su visualizacin solo desde
un a ip permitida. Un saludo amigos, seguid as!!!!

Lo gracioso es que es posible localizar un montn de ellos, por ejemplo, con Shodan, de
los que poder sacar toda la informacin que comento y ms que no est publicada en el
artculo sin la necesidad de autenticarme para ello.

Desde luego esta claro que esta funcionalidad de RouterOS puede ser peligrosa
si no se conoce esta situacin, por lo que gracias por ponerlo de manifiesto. El
hecho de que aparezcan en Shodan muchas entradas es significativo.