Y es más, a partir del nombre de posibles miembros de la organización, se podría obtener,

por ejemplo, información relativa a una posible matrícula de su posible coche:

Figura 16. Posible personal de la organización.

Figura 17. Posible matrícula de coche relacionada con el auto de una posible infracción.

Conclusiones

Para evitar toda la fuga de información que hemos visto en este artículo y poder obtener
información más sensible como el direccionamiento interno de una organización,
políticas de calidad de servicio en su red interna, posibles nombres y apellidos de
miembros de la organización, inicialmente podría pensase acceder al router para su
administración únicamente a través del servicio SSH, es decir, dejar únicamente el puerto
22 TCP abierto para la administración del dispositivo y nunca hacerlo mediante el servicio
HTTP.
Aún así, como vimos los que hicimos el curso Attack and Hardening en GNU Linux, si
se quiere una administración remota del sistema, para cualquier puerto de administración,
podría establecerse permisos únicamente para un pool de direcciones IP fijas y de
confianza o, simplemente, realizar la administración del dispositivo desde la red interna
de la organización, nunca desde Internet.

Amador Aparicio de la Fuente

@amadapa

P.D:Algunos comentarios de gente que trabaja con los routers Mikrotik:

En mi empresa usamos Mikrotik a Go Go, y jamas me habia dado cuenta de este detalle.
Es mas sin usar ZapProxy, directamente desde el interfaz web y sin hacer login tienes a
disposicion un icono "graphs" que te da acceso directo a esta info.

Tambien tengo que decir que el servicio de "Graphs" por defecto viene vacio, por lo que
salvo que lo hayas creado a proposito esa info no la tienes por defecto, pero si esta claro
que es una cagada. Y mayor cagada es para un admin no desactivar cualquier puerto de
administracion, como minimo desde Inet restringirlo a VPN o otro tipo de acceso
restringido y mucho mas un servicio web que es tan propenso a contener
vulnerabilidades.

Con la URL asociada al icono graphs de la web de acceso al panel de

administración es otra vía, pero esto lo descubrí en junio jugando con zaproxy,
por eso he decidido optar por este enfoque.

The graphs are not enabled by default. The user manually (knowingly) added the public
interface to the allowed viewers list.

Hace años que trabajamos con Mikrotik, y para la administración usamos su consola
winbox, por lo que ni siquiera el ssh está activado y el nivel de seguridad lo pones tú
mismo, con lo cual no es una fuga de información sino más bien, mal uso de los
administradores. Los parámetros graph no vienen activos de inicio, por lo que si los vas
a usar, hay que asegurarlos antes, por ejemplo, permitiendo su visualización solo desde
un a ip permitida. Un saludo amigos, seguid así!!!!

Lo gracioso es que es posible localizar un montón de ellos, por ejemplo, con Shodan, de
los que poder sacar toda la información que comento y más que no está publicada en el
artículo sin la necesidad de autenticarme para ello.

Desde luego esta claro que esta funcionalidad de RouterOS puede ser peligrosa
si no se conoce esta situación, por lo que gracias por ponerlo de manifiesto. El
hecho de que aparezcan en Shodan muchas entradas es significativo.