RouterOS od wersji 6.29 – podatny na atak !!!

UWAGA!! Wszyscy posiadacze ruterów MikroTik – poważna dziura, jedna z największych wpadek MikroTika!!
Jeżeli: posiadasz ruter MikroTik z portem 8291 (Winbox) otwartym na świat (to jedyny warunek udanego ataku!)
To: Można uzyskać wszystkie hasła do Twojego rutera (i w 100% przejąć nad nim kontrolę)!
Podatność występuje w wersjach od 6.29 (sprzed prawie 3 lat!!) do dzisiaj. Dziś MikroTik wydał poprawki (wersja 6.42.1 “stabilna”).
Przed poprawkami radzę jednak:
1. Zablokuj dostęp do wszystkich portów na MikroTiku (SSH i WinBox też) ze świata przy pomocy firwalla (czyli – tak, jak robią to domyślne reguły, jeżeli ktoś zostawił domyślne zabezpieczenia – jest bezpieczny).
2. Jeżeli potrzebujesz dostępu do rutera ze świata – to udostępnij go jedynie przez jakiś VPN (najprościej przy pomocy L2TP+IPsec, czyli kombinacji wspieranej przez prawie wszystkie systemy operacyjne).
3. Zmień hasło dostępu do rutera (lub hasła, jeżeli jest kilku użytkowników).
4. Sprawdź logi. Jeżeli w ciągu ostatniego tygodnia nie było żadnego logowania na Twój ruter, którego nie rozpoznajesz jako swoje – bardzo prawdopodobne, że jesteś bezpieczny.
Jeżeli używasz wersji starszej niż 6.41 – po wykonaniu powyższych kroków nie musisz aktualizować systemu do 6.42.1 – wystarczy, że poczekasz na 6.40.8 (wersję “bugfix”) – upgrade do wersji 6.42 wiąże się ze zmianą składni w konfiguracji (głównie – konfiguracji /interface bridge i /interface ethernet switch).
O podatności informuje dziś oficjalnie MikroTik: https://forum.mikrotik.com/viewtopic.php?f=21&t=133533
choć użytkownicy (Polak jako pierwszy! 🙂 ) zgłosili ją już w piątek: https://forum.mikrotik.com/viewtopic.php?f=2&t=133438 (wpis tego samego autora na polskim forum: https://www.trzepak.pl/viewtopic.php?f=26&p=487659).
Według tych informacji – jakieś boty skanują porty 8291 publicznie dostępnych maszyn, następnie logują się na konto admina (nawet jeżeli nazywa się inaczej niż “admin”) i wgrywają jakieś skrypty, które następnie uruchamiają, zamieniając maszynę w zdalnie sterowaną część jakiegoś botnetu (skrypty są linuksowe, w katalogu niewidocznym dla użytkownika Mikrotika). Na szczęście skrypt ten nie modyfikuje (lub też – wtedy jeszcze nie modyfikował) logów, więc takie połączenie można wyśledzić w logach, jak pokazują powyższe artykuły.
Co ciekawe – samo pobranie przez port 8291 haseł do rutera nie jest w żaden sposób widoczne w logach, więc nawet jeżeli nie widzimy w logach nic – hasła zmienić i tak warto (na wypadek, gdyby z tej podatności korzystały jeszcze inne boty, które nie dokonywały włamania od razu).

Autor: Daniel Starnowski