Комментарии 13
Чем «дальше в лес» тем нелепее смотрятся стоковые прошивки в роутерах.
Для себя уже давно имею правило: хочу роутер купить — проверить, что под выбранную модель есть OpenWrt/LEDE прошивка и после покупки (не подключая в WAN) перепрошить.
Для себя уже давно имею правило: хочу роутер купить — проверить, что под выбранную модель есть OpenWrt/LEDE прошивка и после покупки (не подключая в WAN) перепрошить.
С телефонами та же фигня, только LineageOS вместо OpenWrt.
Кстати, именно так я и поступлю при покупке следующего роуттера. Надоело нервничать на пустом месте — самая тупая часть моей домашней системы — самая уязвимая! Это никуда не годится.
Не уверен что там нет дыр, просто они не так распространены (пока). Хотя, править их будут быстрее и вероятнее, чем заьрошенный производителем, но всё ещё хороший роутер возраста пару-тройку лет.
Ну не совсем так.
То что в OpenWRT дыр нет — никто гарантию не даст, но:
1. За OpenWRT стоит приличное комьюнити способное оперативно вносить правки при обнаружении проблем с безопасностью. Да там собственно ядро то — Linux и GNU утилиты — это все еще оперативнее фиксится.
2. Самые нелепые дыры там давно уже закрыты и используются надежные, проверенные и стандартные для мира Linux инструменты и утилиты.
3. Вы всегда можете обновить прошивку из транка и получить самые свежие обновления по безопасности даже для довольно старого роутера.
Если же разбираться в проблемах стоковых прошивок, то что мы видим:
1 берется тот же OpenWRT и корежится для неузнаваемости.
2 внедряются «наколенке» писанные «домашние» решения
3 все это закрывается лицензией (часто с нарушением лицензий под которыми распространяется первичный продукт)
В случае когда берут не OpenWRT-like сборку, а колхозят что-то свое-домашнее — тогда дела обстоят еще хуже.
Но главное — это стиль бизнеса: слабал прошивку-продал девайс-забыл. Найти обновление прошивки на 2-3+ летний SOHO роутер у производителя — это из разряда фантастики.
То что в OpenWRT дыр нет — никто гарантию не даст, но:
1. За OpenWRT стоит приличное комьюнити способное оперативно вносить правки при обнаружении проблем с безопасностью. Да там собственно ядро то — Linux и GNU утилиты — это все еще оперативнее фиксится.
2. Самые нелепые дыры там давно уже закрыты и используются надежные, проверенные и стандартные для мира Linux инструменты и утилиты.
3. Вы всегда можете обновить прошивку из транка и получить самые свежие обновления по безопасности даже для довольно старого роутера.
Если же разбираться в проблемах стоковых прошивок, то что мы видим:
1 берется тот же OpenWRT и корежится для неузнаваемости.
2 внедряются «наколенке» писанные «домашние» решения
3 все это закрывается лицензией (часто с нарушением лицензий под которыми распространяется первичный продукт)
В случае когда берут не OpenWRT-like сборку, а колхозят что-то свое-домашнее — тогда дела обстоят еще хуже.
Но главное — это стиль бизнеса: слабал прошивку-продал девайс-забыл. Найти обновление прошивки на 2-3+ летний SOHO роутер у производителя — это из разряда фантастики.
А с микротиками как? Там ведь родная прошивка на порядок функциональнее *WRT, ИМХО.
Вот и приходится думать, терять ли эти все возможности, или просто сесть и как следует поработать над настройками.
Вот и приходится думать, терять ли эти все возможности, или просто сесть и как следует поработать над настройками.
Что значит в микротиках как?
Цитата из текста выше: Но еще лучше обновиться: в августовских адпейтах прошивки Mikrotik RouterOS были закрыты и эти вновь обнаруженные баги…
Просто нажать «System — Packages — Check For Updates — Download / Install», подождать пару минут. Возможно обновить WinBox.
Цитата из текста выше: Но еще лучше обновиться: в августовских адпейтах прошивки Mikrotik RouterOS были закрыты и эти вновь обнаруженные баги…
Просто нажать «System — Packages — Check For Updates — Download / Install», подождать пару минут. Возможно обновить WinBox.
Для простых пользователй там из коробки на WAN стоит input drop.
Т.е. фаервол из инета все режет. Это уже отсекает все описанные уязвимости.
Ну и регулярные обновления от производителя конечно присутсвуют.
Т.е. фаервол из инета все режет. Это уже отсекает все описанные уязвимости.
Ну и регулярные обновления от производителя конечно присутсвуют.
Насчет обновлений Вам уже ответили. Я лишь добавлю, что в принципе не корректно ставить MikroTik в один ряд с D-Link, TP-Link и прочим ширпотребом.
Дело в том, что при обнаружении уязвимости обновление Router OS выйдет в считанные дни и для всей линейки аппаратуры сразу. И обновление это дело нескольких кликов.
Для *-Link обновление можно ждать месяцами, годами… Для многих моделей оно не выйдет никогда. Поиск и обновление тоже может превратиться в квест в некоторых случаях.
Купить же MikroTik для того что бы поставить туда LEDE? Ну это странно, по меньшей мере. Для этого есть подходящие модели ширпотреба, которые бывают весьма не плохи по железу. И при установке LEDE превращаются во вполне годные устройства для SOHO сегмента.
Дело в том, что при обнаружении уязвимости обновление Router OS выйдет в считанные дни и для всей линейки аппаратуры сразу. И обновление это дело нескольких кликов.
Для *-Link обновление можно ждать месяцами, годами… Для многих моделей оно не выйдет никогда. Поиск и обновление тоже может превратиться в квест в некоторых случаях.
Купить же MikroTik для того что бы поставить туда LEDE? Ну это странно, по меньшей мере. Для этого есть подходящие модели ширпотреба, которые бывают весьма не плохи по железу. И при установке LEDE превращаются во вполне годные устройства для SOHO сегмента.
В этом плане неплохи Zyxel Keenetic (теперь просто Keenetic). У них есть нечто вроде полуофициального форума, где сидят разработчики и принимают баг-репорты и, что радует, пожелания о нововведениях. Судя по ченжлогу, альфа-прошивки выходят каждую неделю: forum.keenetic.net/topic/4863-%D0%B6%D1%83%D1%80%D0%BD%D0%B0%D0%BB-%D0%B8%D0%B7%D0%BC%D0%B5%D0%BD%D0%B5%D0%BD%D0%B8%D0%B9-213
Так что не каждый ширпотреб плох. Но, конечно, по функционалу с микротиками им не сравниться, но и целевая аудитория устройств несколько иная.
Так что не каждый ширпотреб плох. Но, конечно, по функционалу с микротиками им не сравниться, но и целевая аудитория устройств несколько иная.
Теперь бы только понять: а какое отношение всё это имеет к IoT?
Официальное заявление от MikroTik:
A cybersecurity researcher from Tenable Research has released a new proof-of-concept (PoC) RCE attack for an old directory traversal vulnerability that was found and patched within a day of its discovery in April this year, the new attack method found by Tenable Research exploits the same vulnerability, but takes it to one step ahead.
Since the original Winbox issue, identified as CVE-2018-14847, was already patched back in April, we urge all MikroTik users to upgrade their devices to any recently released version, and as a precaution also change their passwords and inspect their configuration for unknown entries.
Please note that all of the recently released CVE entries have been fixed in RouterOS for several months, none of the newly discussed issues affect current products. More information from Tenable. Original post about the fixed issue, later called CVE-2018-14847, including more suggestions.
In short:
Regardless of version used, all RouterOS versions that have the default firewall enabled, are not vulnerable
If user has manually disabled the default firewall, their device might be vulnerable to CVE-2018-14847, which was patched in April
Newly revealed exploit relies on the above, already patched issue
Please upgrade, change password and inspect configuration for irregularities
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
IoT Security Week 38: уязвимости в роутерах MikroTik, D-Link и TP-Link