Уразливість Mikrotik дозволяє отримувати список всіх користувачів через winbox

Пристрої компанії Mikrotik стали широко поширені із-за своєї ціни по відношенню до функціоналу. Але і помилки в програмному забезпеченні ніхто не відміняв. І на цей раз виліз серйозний баг.

25 березня один з користувачів форуму Mikrotik повідомив про виявлення підозрілої активності маршрутизатор mikrotik із застосуванням портів telnet (TCP port 23), TR-069 (TCP port 7547) і WINBOX (TCP 8291).

Співробітники компанії послалися на баг, який був закритий рік тому. Надалі з’ясувалося, що це нова уразливість і 23 квітня компанія Микротик повідомила про випуск прошивок, де ця вразливість усунена.

Незважаючи на те, що компанія досить оперативно випустила bugfix, пристрої, схильні до вразливості в мережі обчислюються тисячами.

Всім користувачам RouterOS рекомендую оновитися мінімум до версій 6.40.8 [bugfix] або 6.42.1 [current]

Так само в загальному доступі з’явилися інструменти, які дозволяють простим користувачам отримати доступ на пристрої, які не захищені фаєрволом або не оновлені до актуальної версії.

 

З огляду останніх подій я пропоную всім користувачам пристроїв Mikrotik і CHR зробити хоча б мінімальну настройку.

 

Мінімальні налаштування безпеки

 

Аналізуючи пристрою з багом, я звернув увагу, що практично всі нехтують налаштувань фаєрвола, незважаючи на те, що це найбільш ефективний інструмент захисту Вашої мережевої інфраструктури. І 90% пристроїв мають обліковий запис “адміністратор” з повними правами. Прям мрія для брудфорсеров.

Щодо захисту RouterOS зробіть кілька нескладних кроків, щоб забезпечити мінімальну безпеку:

  1. Переконайтеся, що у Вас остання прошивка.
  2. Не варто сподіватися на відсутність багів в новій прошивці і налаштуйте фаєрвол:
    2.1. У ланцюжку INPUT доступ до пристрою дозволений тільки з довірчих ip адрес. Наприклад, діапазон домашньої мережі або ip адресами мережевих адміністраторів.
    Зверніть увагу на те, що ланцюжок INPUT застосовується тільки для пакетів, адресованих безпосередньо цього маршрутизатора. Транзитні пакети ставляться до ланцюжку FORWARD.
    2.2. Дропайте всі пакети, які не відповідають дозволеним.
    2.3. У випадку, якщо Вам потрібно періодично доступ до динамічних адрес, то використовуйте “port knocking”, щоб додати Ваш ip дозволені на певний час.
  3. Вимкніть всі сервіси, які Ви не використовуєте (api,ssh,telnet etc.)
  4. Після налаштування файерволу і оновлення прошивки змініть пароль.
Читайте також  Творці ботнету Mirai тепер борються зі злочинністю на стороні ФБР

Якщо ви використовуєте ім’я закладки “admin” так само створіть свою учетку, наприклад, “Vasya”. Зайдіть під нею, перевірте права доступу і заблокуйте “адміна”.

FireWall

 

З використання терміналу.
Створіть список адрес, яким буде дозволено підключатися до маршрутизатора
/ip firewall address-list
add address=192.168.1.0/24 list=allow-ip
add address=192.168.88.10/32 list=allow-ip

Додаємо правило, яке дозволяє всі дії з цих адрес

/ip firewall filter
add action=accept chain=input comment="Allow Address List" src-address-list=allow-ip

У разі якщо потрібен доступ з невідомих адрес я роблю очікування icmp пакета (ping) певного розміру. Якщо такий пакет прилітає, то адреса джерела додається в список allow-ip згодом в 1 годину. При бажанні можна зробити каскад з таких пакетів.

/ip firewall filter
add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input packet-size=783 protocol=icmp

Обратие увагу на розмір пакета packet-size 783 байт. Але при пінгуванні Ви повинні вказувати на 28 байт менше. В даному випадку пінг з windows:

ping -l 755 myhostname.domain

Забороняємо доступ до всіх портів, які не можна вище:

/ip firewall filter add action=drop chain=input

Сервіси,

які Ви не використовуєте теж треба вимкнути бо це зайві точки відмови.
/ip service
set api disabled=yes
set api-ssl disabled=yes
і так далі.

 

Теж саме за допомогою винбокс.

Дозволяємо в нашому адреса аркуші.

Правило додавання в адресу лист за пінгу

Правило заборони всього і вся ставиться самим останнім

Тобто це має виглядати так

Сервіси налаштовуємо тут

Користувачів додати і видалити “admin”, а також змінити пароль можна тут

Висновок

Дуже сподіваюся, що моя коротка інструкція допоможе вашому пристрою не потрапити під контроль будь ботнет мережі, в тому числі Hajim.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *