Скрытая атака или что это было?
Всем доброго времени суток. Используем на предприятии в качестве роутера/vpn-сервера mikrotik. Пришел сегодня на работу и увидел вот это чудо:
На самом предприятии внутренняя сеть идёт в 10.10.0.0/24, а 10.10.1.0/24 под нужды L2TP/IPSec. Окей, есть 1 активный пользователь VPN и он находится за адресом 10.10.1.19, немного уже странно, так как в активных нет адреса 10.10.1.20. Пытаюсь в пинги, до 19 не доходят, а вот до 20 стабильно идут. Пробиваю этот IP через Angry IP Scanner и вижу MAC-адрес моего же микротика.
Выдергиваю кабель провайдера - пинги больше не идут. Втыкаю обратно - подключившиеся адреса меняются. Теперь 20 активен, а 19 пингуется. Окей, захожу на IP через огнелиса и вижу классическую веб-морду микротика. Смотрю в логах внешний IP того, кто подключался, гуглю и получаю следующее
Всегда думал, что выстроил неплохую защиту, однако сегодня утром получил неплохого адреналинчика. Причём за этим IP не видно попыток перебора паролей, просто взял и вошёл.
Больше всего мне интересно как он смог получая один адрес VPN-пула, атаковать с другого. Очередная уязвимость микротика, или новые увороты от хакеров?
Будьте осторожны и сканируйте периодически все пулы ваших адресов на предмет невидимых, всем спасибо за внимание.
Лига Сисадминов
1.6K поста17.7K подписчиков
Правила сообщества
Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.