Comments 46
Автор того самого proof of concept на данную уязвимость резюмирует свое мини-исследование словами типа «не используйте mikrotik в энтерпрайзе»
Я вообще не понимаю как такой вывод может в голову прийти? Любой здравомыслящий человек «в теме» понимает, что уязвимости находили, находят и будут находить в продуктах и куда более именитых фирм. Но даже эта конкретная дыра не будет страшна при правильной конфигурации — если интерфейс управления не будет торчать наружу. Что бы это понимать не надо даже быть спецом по Микротикам. Это как бы основы.
Вся беда в том, что устройства Mikrotik имеют ценовой диапазон от 30-40$, а возможности при этом приближены к возможностям серьёзных устройств энтерпрайз уровня (с ценой овер дофига). Поэтому Mikrotik зачастую настраивает «спец» уровня «Далее->Далее->Далее->Готово». А с ними это не прокатывает, потому как возможности диктуют и некий уровень квалификации для вхождения. К той же Cisco такого «спеца» просто не допустит никто, а купить себе домой бюджет не позволяет.
Любой здравомыслящий человек «в теме» понимает, что уязвимости находили, находят и будут находить в продуктах и куда более именитых фирмИменно поэтому правильный вывод должен быть такой:
> Вовремя обновляйте Firmware и Packages.
Так наиболее вероятно, что управление снаружи оставляют и осознанно:
В России роутеры Mikrotik часто используются в малом и среднем бизнесе, где они настраиваются либо приходящим айтишником, либо кем-то из владельцев-сотрудников, а потом про них, как правило, забывают: то одно, то другое, работает — и ладно.Так же можно в случае чего удалённо перенастраивать.
Я ниже (или выше — как тут правильно сказать?) писал уже, что есть способы защиты управляющего интерфейса. Начать можно с банальной смены порта. И на самом деле не стоит недооценивать этот тупой способ — подавляющее большинство атак отвалится уже на этом этапе, проверено. Более искушенным товарищам можно прописать port knocking (в разных его вариациях). Для гурманов же — VPN (желательно по L2TP/IPsec).
Именно по этому выставить в интернет «голый» WinBox и SSH это по сути ошибочная конфигурация. Вряд ли это можно назвать разумным поведением.
Эту тему (как я опять же писал ниже) поднимали мы тут пару месяцев назад в очередном посте про эту же самую вроде уязвимость. Тогда же и сошлись на том, что такое поведение показатель некомпетенции и от услуг таких настройщиков надо отказываться.
Именно по этому выставить в интернет «голый» WinBox и SSH это по сути ошибочная конфигурация. Вряд ли это можно назвать разумным поведением.
Эту тему (как я опять же писал ниже) поднимали мы тут пару месяцев назад в очередном посте про эту же самую вроде уязвимость. Тогда же и сошлись на том, что такое поведение показатель некомпетенции и от услуг таких настройщиков надо отказываться.
Да я и не оправдываю этих настройщиков. А вот про смену порта — как я понимаю, достаточно бесполезно, так как белые адреса простукиваются по всем портам; тот же shodan всё и так видит.
А никак нельзя этот WinBox завернуть в TLS с клиентским сертификатом?
А никак нельзя этот WinBox завернуть в TLS с клиентским сертификатом?
Ну как сказать. Никто конечно не мешает сканировать все порты, но больно это накладно выходит. Вот случай из жизни. Был у меня одно время сервачок в хозяйстве, торчал наружу «голым» RDP на стандартном порту (понятно что так делать тоже нельзя, но там так надо было). Так вот по логам было видно, что регулярно на него ломились под administrator и admin. После того как порт RDP сменили на нестандартный из высокого диапазона, всё — как отрезало. За несколько лет ни одной попытки входа не было. Думаю и с WinBox так же будет. Вряд ли кто-то будет сканировать весь диапазон в поисках именно WinBox (ну если конечно атака не целенаправленная), куда проще пройтись по известному порту охватив больше ip. Вестимо улов будет по любому.
Но я обращаю внимание, что это не надёжная защита. Но лучше хотя бы такая, чем вообще никакой. Просто тот же port knocking что бы реализовать надо каким-то хотя бы знаниями обладать, а поменять порт WinBox это и обезьяна справится.
Завернуть WinBox в TLS нельзя. Можно (и нужно) поднять L2TP/IPsec VPN и туда уже завернуть всё что угодно. VPN можно в свою очередь и по сертификату сделать (я правда делал только по preshared key).
Но я обращаю внимание, что это не надёжная защита. Но лучше хотя бы такая, чем вообще никакой. Просто тот же port knocking что бы реализовать надо каким-то хотя бы знаниями обладать, а поменять порт WinBox это и обезьяна справится.
Завернуть WinBox в TLS нельзя. Можно (и нужно) поднять L2TP/IPsec VPN и туда уже завернуть всё что угодно. VPN можно в свою очередь и по сертификату сделать (я правда делал только по preshared key).
Автор того самого proof of concept на данную уязвимость резюмирует свое мини-исследование словами типа «не используйте mikrotik в энтерпрайзе»
UFO just landed and posted this here
Есть готовый скрипт который проверяет обновления, скачивает, делает ребут и присылает письмо с бекапом конфига.
github.com/beeyev/mikrotik/blob/master/Auto-Upgrade/firmware-updater.rsc
github.com/beeyev/mikrotik/blob/master/Auto-Upgrade/firmware-updater.rsc
UFO just landed and posted this here
По мне, так, неконтролируемое обновление роутера — сомнительное удобство.
Может производителям стоит по умолчанию разрешать управление только из внутренней сети? Кому надо извне, тот добавит, кому не надо, не заметит, кому надо извне безопасно, сделает впн внутрь и закроет все снаружи.
Домашние роутеры вроде все фильтруют всегда все входящие извне. Раз уж продают дешево, значит надо думать о том, кто это все настраивать будет.
Домашние роутеры вроде все фильтруют всегда все входящие извне. Раз уж продают дешево, значит надо думать о том, кто это все настраивать будет.
Как вариант еще можно поднять цены, что бы оно не попадало в руки некомпетентных людей (шутка если что).
Знаете, на самом деле достаточно сложно объяснить человеку не работавшему с RouterOS. Там просто сама концепция такова, что система даёт огромные возможности, но подразумевает, что настраивать конфигурацию будут с нуля, под конкретный сценарий. И настройкой должен заниматься человек обладающий знаниями на уровне хотя бы MTCNA и достаточно глубокими познаниями в сетевых технологиях. Т.е. сравнивать с домашними роутерами вообще не корректно. Последние можно настроить обладая поверхностными знаниями сетевых технологий просто тыкая в веб-интерфейс. С Микротиками такой фокус не прокатывает. Хотя насколько я знаю там есть какие-то стандартные конфигурации и даже вроде мастера по настройке (никогда не пользовался). Возможно как раз в этом и проблема, т.к. если бы их не было, то скорее всего и проблем бы таких не возникало. Т.к. человек без нужной компетенции просто не смог бы заставить его работать, вообще никак.
На ум приходит аналогия с американскими маслкарами 60-70-х годов прошлого века. Мощный мотор, но ни управления нормального, ни тормозов и всё это по цене Жигулей. Т.е. купить может практически любой, но если ездить не умеешь, то скорее всего убьёшься.
Знаете, на самом деле достаточно сложно объяснить человеку не работавшему с RouterOS. Там просто сама концепция такова, что система даёт огромные возможности, но подразумевает, что настраивать конфигурацию будут с нуля, под конкретный сценарий. И настройкой должен заниматься человек обладающий знаниями на уровне хотя бы MTCNA и достаточно глубокими познаниями в сетевых технологиях. Т.е. сравнивать с домашними роутерами вообще не корректно. Последние можно настроить обладая поверхностными знаниями сетевых технологий просто тыкая в веб-интерфейс. С Микротиками такой фокус не прокатывает. Хотя насколько я знаю там есть какие-то стандартные конфигурации и даже вроде мастера по настройке (никогда не пользовался). Возможно как раз в этом и проблема, т.к. если бы их не было, то скорее всего и проблем бы таких не возникало. Т.к. человек без нужной компетенции просто не смог бы заставить его работать, вообще никак.
На ум приходит аналогия с американскими маслкарами 60-70-х годов прошлого века. Мощный мотор, но ни управления нормального, ни тормозов и всё это по цене Жигулей. Т.е. купить может практически любой, но если ездить не умеешь, то скорее всего убьёшься.
UFO just landed and posted this here
Интересно, т.е. получается, что все эти тысячи пользователей специально открывали доступ извне для WinBox'а? Если так, то тогда сложно что-то поделать. Или атакующие всегда изнутри получали доступ к микротикам с дефолтными настройками? Тогда надо повышать уровень паранои…
Тут два варианта — или люди сами открывали доступ (либо удаляли правила все по незнанию), или ставили устройства из линейки коммутаторов (crs) без какой-либо настройки вместо маршрутизаторов. Второй вариант вполне возможен, просто там изначальных правил нет — кому нужно блокировать доступ на одном из портов коммутатора?
Кстати, на случай опасных изменений — здесь есть галочка «Safe mode». Если ваши настройки приведут к потере доступа — они просто отменятся. Поэтому применение настроек сразу не является страшным.
Кстати, на случай опасных изменений — здесь есть галочка «Safe mode». Если ваши настройки приведут к потере доступа — они просто отменятся. Поэтому применение настроек сразу не является страшным.
а в старых версиях тоже стоял такой запрет?
Ну я бы не сказал, что там все так страшно. Я не сетевик, но настроил таки после некоторого количества матов через веб-морду. Мне только странно было, что все изменения сразу применяются.
Сохо-роутеры тоже сразу применяют изменения, да и та же ASA при настройке через ASDM (в некоторых частях надо-таки Apply нажать) тоже. А вот кто меня больше порадовал, так это D-Link DFL-800, у которого упомянутый в ветке выше safe mode в прошивке сидит. Ты применяешь все изменения сразу скопом, и пытаешься на нем авторизоваться, и если доступ отвалился, девайс откатит конфигурацию.
Ну мне кажется, что Вы немного скромничаете. В комменте выше Вы писали про «впн внутрь». А я Вам страшную тайну открою — многие люди мнящие себя сетевиками и админами даже не догадываются, что так можно.
Вы наверняка настраивали на основе дефолтной конфигурации? Я согласен, что это возможно. Но если понадобится выйти за её рамки, то придётся уже что-то крутить-вертеть в настройках. И тут без понимания можно сделать фатальную ошибку. Это как раз то о чём я говорил. И в таком сценарии это конечно из пушки по воробьям. На курсах MTCNA учат первым делом удалить дефолтную конфу и настраивать всё с нуля. Это во-первых позволяет раскрыть потенциал устройства, а во-вторых понять как оно вообще работает (что в свою очередь опять же помогает в раскрытии потенциала). И вот настроить ROS с пустой конфигурацией без спец.знаний уже практически не возможно. Либо опять делать это по мануалам с интернета а-ля нажмите туда, затем сюда. Но в этом случае снова велика вероятность выстрелить себе в ногу.
А впрочем… Вот Вы спрашиваете кто все эти люди которые WinBox в интернет выставили. Пару месяцев назад в очередной статье на Хабре про эту уязвимость мы уже обсуждали это. И там человек жаловался, что у них в организации роутер обслуживает аутсорсер (аффилированный с руководством) и он выставил «голый» WinBox наружу потому что ему так удобнее. Т.е. про VPN, port knocking или хотя бы банальную смену порта он видимо даже не догадывается. А Вы говорите «я не сетевик»…
Вы наверняка настраивали на основе дефолтной конфигурации? Я согласен, что это возможно. Но если понадобится выйти за её рамки, то придётся уже что-то крутить-вертеть в настройках. И тут без понимания можно сделать фатальную ошибку. Это как раз то о чём я говорил. И в таком сценарии это конечно из пушки по воробьям. На курсах MTCNA учат первым делом удалить дефолтную конфу и настраивать всё с нуля. Это во-первых позволяет раскрыть потенциал устройства, а во-вторых понять как оно вообще работает (что в свою очередь опять же помогает в раскрытии потенциала). И вот настроить ROS с пустой конфигурацией без спец.знаний уже практически не возможно. Либо опять делать это по мануалам с интернета а-ля нажмите туда, затем сюда. Но в этом случае снова велика вероятность выстрелить себе в ногу.
А впрочем… Вот Вы спрашиваете кто все эти люди которые WinBox в интернет выставили. Пару месяцев назад в очередной статье на Хабре про эту уязвимость мы уже обсуждали это. И там человек жаловался, что у них в организации роутер обслуживает аутсорсер (аффилированный с руководством) и он выставил «голый» WinBox наружу потому что ему так удобнее. Т.е. про VPN, port knocking или хотя бы банальную смену порта он видимо даже не догадывается. А Вы говорите «я не сетевик»…
Видимо, попытка охватить больший сегмент и зайти для «менее продвинутых» юзеров вышла боком. Мастер настроек (визард) дает «свои плоды». Как вариант — добавлять тогда автоматическое обновление прошивки.
UFO just landed and posted this here
В 99.9% случаев в заражении роутера виноваты сами пользователи. Либо напрочь сносят фаервол, либо открывают полный доступ из вне.
— работаю в MT.
— работаю в MT.
С юбилеем!
Спасибо за посты!
Авторы халтурят явно.
Я с мая 2018 года обнаружил 90 000 дырявых устройств и 8 000 из низ из России. Больше всего дырявых роутеров в Бразилии — более 13000 устройств.
А мнение, что Микротик нельзя использовать в энтерпрайзе — убого. Так же можно заявлять и про Cisco после каждой найденной у них уязвимости.
Сетевое оборудование должны настраивать люди, которые имеют специальные знания в этой области. А обычно их настраивают те, кто по диагонали прочитали гайды и форумы, не понимая как на самом деле происходит обработка пакетов.
Я с мая 2018 года обнаружил 90 000 дырявых устройств и 8 000 из низ из России. Больше всего дырявых роутеров в Бразилии — более 13000 устройств.
А мнение, что Микротик нельзя использовать в энтерпрайзе — убого. Так же можно заявлять и про Cisco после каждой найденной у них уязвимости.
Сетевое оборудование должны настраивать люди, которые имеют специальные знания в этой области. А обычно их настраивают те, кто по диагонали прочитали гайды и форумы, не понимая как на самом деле происходит обработка пакетов.
ну ладно, вывесил ты наружу дырку, ну хоть ограничь список ip, c которых можно в неё лазить…
про впн уже не говорю
странные люди творят странные штуки.
про впн уже не говорю
странные люди творят странные штуки.
UFO just landed and posted this here
Вопрос безопасности это выбор специалиста.
А уже он подберет подходящее железо и софт и настроит.
У нас сервак таки упал после смерти винтов, а я ведь 2 года служебки писал и страшилки рассказывал — всем пофиг.
Разруха в головах. Руководства.
А уже он подберет подходящее железо и софт и настроит.
У нас сервак таки упал после смерти винтов, а я ведь 2 года служебки писал и страшилки рассказывал — всем пофиг.
Разруха в головах. Руководства.
Sign up to leave a comment.
Security Week 34: для чего ломают роутеры