Уразливість Mikrotik дозволяє отримувати список всіх користувачів через winbox

by Степан Лютий · 28 Вересня, 2018

Пристрої компанії Mikrotik стали широко поширені із-за своєї ціни по відношенню до функціоналу. Але і помилки в програмному забезпеченні ніхто не відміняв. І на цей раз виліз серйозний баг.

25 березня один з користувачів форуму Mikrotik повідомив про виявлення підозрілої активності маршрутизатор mikrotik із застосуванням портів telnet (TCP port 23), TR-069 (TCP port 7547) і WINBOX (TCP 8291).

Співробітники компанії послалися на баг, який був закритий рік тому. Надалі з’ясувалося, що це нова уразливість і 23 квітня компанія Микротик повідомила про випуск прошивок, де ця вразливість усунена.

Незважаючи на те, що компанія досить оперативно випустила bugfix, пристрої, схильні до вразливості в мережі обчислюються тисячами.

Всім користувачам RouterOS рекомендую оновитися мінімум до версій 6.40.8 [bugfix] або 6.42.1 [current]

Так само в загальному доступі з’явилися інструменти, які дозволяють простим користувачам отримати доступ на пристрої, які не захищені фаєрволом або не оновлені до актуальної версії.

З огляду останніх подій я пропоную всім користувачам пристроїв Mikrotik і CHR зробити хоча б мінімальну настройку.

Мінімальні налаштування безпеки

Аналізуючи пристрою з багом, я звернув увагу, що практично всі нехтують налаштувань фаєрвола, незважаючи на те, що це найбільш ефективний інструмент захисту Вашої мережевої інфраструктури. І 90% пристроїв мають обліковий запис “адміністратор” з повними правами. Прям мрія для брудфорсеров.

Щодо захисту RouterOS зробіть кілька нескладних кроків, щоб забезпечити мінімальну безпеку:

Переконайтеся, що у Вас остання прошивка.
Не варто сподіватися на відсутність багів в новій прошивці і налаштуйте фаєрвол:
2.1. У ланцюжку INPUT доступ до пристрою дозволений тільки з довірчих ip адрес. Наприклад, діапазон домашньої мережі або ip адресами мережевих адміністраторів.
Зверніть увагу на те, що ланцюжок INPUT застосовується тільки для пакетів, адресованих безпосередньо цього маршрутизатора. Транзитні пакети ставляться до ланцюжку FORWARD.
2.2. Дропайте всі пакети, які не відповідають дозволеним.
2.3. У випадку, якщо Вам потрібно періодично доступ до динамічних адрес, то використовуйте “port knocking”, щоб додати Ваш ip дозволені на певний час.
Вимкніть всі сервіси, які Ви не використовуєте (api,ssh,telnet etc.)
Після налаштування файерволу і оновлення прошивки змініть пароль.

Читайте також Як дізнатись хто дзвонив по номеру телефону

Якщо ви використовуєте ім’я закладки “admin” так само створіть свою учетку, наприклад, “Vasya”. Зайдіть під нею, перевірте права доступу і заблокуйте “адміна”.

FireWall

З використання терміналу.
Створіть список адрес, яким буде дозволено підключатися до маршрутизатора
/ip firewall address-list
add address=192.168.1.0/24 list=allow-ip
add address=192.168.88.10/32 list=allow-ip

Додаємо правило, яке дозволяє всі дії з цих адрес

/ip firewall filter
add action=accept chain=input comment="Allow Address List" src-address-list=allow-ip

У разі якщо потрібен доступ з невідомих адрес я роблю очікування icmp пакета (ping) певного розміру. Якщо такий пакет прилітає, то адреса джерела додається в список allow-ip згодом в 1 годину. При бажанні можна зробити каскад з таких пакетів.

/ip firewall filter
add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input packet-size=783 protocol=icmp

Обратие увагу на розмір пакета packet-size 783 байт. Але при пінгуванні Ви повинні вказувати на 28 байт менше. В даному випадку пінг з windows:

ping -l 755 myhostname.domain

Забороняємо доступ до всіх портів, які не можна вище:

/ip firewall filter add action=drop chain=input