company_banner

Обновите RouterOS на вашем MikroTik


    Вечером 10 марта служба поддержки Mail.ru начала получать жалобы от пользователей на невозможность подключения к IMAP/SMTP серверам Mail.ru через почтовые программы. При этом часть коннектов не проходила, а часть показывают ошибку сертификата. Ошибка вызвана тем, что «сервер» отдает самоподписаный сертификат TLS.
     

    За два дня пришло более 10 жалоб от пользователей из самых разных сетей и с самыми разными устройствами, что делало маловероятным проблему в сети какого-то одного провайдера. Более подробный разбор проблемы выявил, что идет подмена сервера imap.mail.ru (а так же других почтовых серверов и сервисов) на уровне DNS. Дальше, при активной помощи наших пользователей, мы нашли, что причина в неправильной записи в кеше их роутера, который по совместительству является локальным DNS резолвером, и которым во многих (но не всех) случаях оказалось устройство MikroTik, очень популярное в небольших корпоративных сетях и у маленьких провайдеров Интернет.

    В чем проблема


    В сентябре 2019 года исследователи нашли несколько уязвимостей в MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), которые позволяли проводить атаку DNS cache poisoning, т.е. возможность подмены DNS-записей в DNS-кеше роутера, причем CVE-2019-3978 позволяет атакующему не дожидаться, когда кто-то из внутренней сети обратится за записью на его DNS-сервер, чтобы отравить кеш резолвера, а инициировать такой запрос самому через порт 8291 (UDP и TCP). Уязвимость была исправлена MikroTik в версиях RouterOS 6.45.7 (stable) и 6.44.6 (long-term) 28 октября 2019, однако согласно исследованиям большая часть пользователей на текущий момент не установила патчи.

    Очевидно, что сейчас эта проблема активно эксплуатируется «вживую».

    Чем это опасно


    Атакующий может подменить DNS-запись любого хоста, к которому обращается пользователь внутренней сети, таким образом перехватив трафик к нему. Если сенситивная информация передается без шифрования (например по http:// без TLS) или пользователь соглашается принять поддельный сертификат, атакующий может получить все данные, которые отправляются через соединение, например логин или пароль. К сожалению, практика показывает, что если у пользователя есть возможность принять поддельный сертификат, то он ей воспользуется.

    Почему именно сервера SMTP и IMAP, и что спасало пользователей


    Почему атакующие пытались перехватить именно SMTP/IMAP-трафик почтовых приложений, а не веб-трафик, хотя большая часть пользователей ходят в почту браузером по HTTPS?

    Не все почтовые программы работающие по SMTP и IMAP/POP3 оберегают пользователя от ошибки, не позволяя ему отправить логин и пароль через небезопасное или скомпрометированное соединение, хотя по стандарту RFC 8314, принятому еще в 2018 (и реализованному в Mail.ru гораздо раньше), они должны защищать пользователя от перехвата пароля через любое незащищенное соединение. Кроме того, пока в почтовых клиентах очень редко используется протокол OAuth (он поддерживается почтовыми серверами Mail.ru), а без него логин и пароль передаются в каждом сеансе.

    Браузеры могут быть немного лучше защищены от атак Man-in-the-Middle. На всех критичных доменах mail.ru дополнительно к HTTPS включена политика HSTS (HTTP strict transport security). При включенном HSTS современный браузер не дает пользователю простой возможности принять поддельный сертификат, даже если пользователь этого захочет. Помимо HSTS, пользователей спасало то, что с 2017-го года  SMTP, IMAP и POP3-серверы Mail.ru запрещают передачу пароля через незащищенное соединение, все наши пользователи использовали TLS для доступа по SMTP, POP3 и IMAP, и поэтому логин и пароль можно перехватить только если пользователь сам соглашается принять подмененный сертификат.

    Для мобильных пользователей, мы всегда рекомендуем использовать приложения Mail.ru для доступа к почте, т.к. работа с почтой в них безопасней, чем в браузерах или встроенных SMTP/IMAP клиентах.

    Что нужно сделать


    Необходимо обновить прошивку MikroTik RouterOS до безопасной версии. Если по какой-то причине это невозможно, необходимо отфильтровать трафик по порту 8291 (tcp и udp), это затруднит эксплуатацию проблемы, хотя и не устранит возможности пассивной инъекции в DNS-кэш. Интернет-провайдерам стоит фильтровать этот порт на своих сетях, чтобы защитить корпоративных пользователей. 

    Всем пользователям, которые принимали подмененный сертификат следует срочно сменить пароль электронной почты и других сервисов, для которых этот сертификат принимался. Со своей стороны, мы оповестим пользователей, которые заходят в почту через уязвимые устройства.

    P.S. Есть еще связанная уязвимость, описанная в посте LukaSafonov "Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств".
    Mail.ru Group
    Строим Интернет

    Комментарии 73

      +1
      В заголовке совет актуальный практически ежемесячно
        +1
        И не только для Микротик, да.
          +6

          Только микротик выпускает обновления, в отличии от...

            0
            На мой домашний асус тоже приходят иногда, вроде какие-то уязвимости тоже чинят.
              0
              А если я возьму асус почти десятилетней давности?
                0
                Этому 4 только ещё, но всё равно приятно, что не забили. Моделька-то домашняя, не профессиональная.
                0

                Для soho это скорее исключение. К сожалению.

              0
              Я имел в виду то, что для RouterOS очень регулярно находят очень опасные уязвимости
                +5
                Очень регулярно опасные — это примерно три опасных за последние пару лет?
                Так вот, тут особенность в том, что на стандартных настройках никто ваш микротик из интернета не взломает. Нужно прямо разрешить доступ к требуемым портам в файрволле, чтобы можно было подключиться извне. И вот тогда вас могут взломать, если вы не обновляете софт. Сравните с прочими производителями, которые перестают поддерживать даже ещё официально продающиеся в крупных магазинах устройства (*пристально смотрит на d-link*). Микротики же прекрасно поддерживаются спустя много лет.
                  +4
                  Я бы еще добавил, что в микротах находят новые уязвимости по той причине, что их ищут. Ведь если ты нашел уязвимость, а ее через месяц залатали, то тебе нужна новая уязвимость.
                  А если ты можешь эксплуатировать уязвимость десятилетней давности, то зачем искать новую (не буду тыкать в таких производителей, все и так в курсе)?
                  Хотя конечно галочки «обновлять автоматически» выставленной по умолчанию в RouterOS явно не хватает!
                    0

                    Галочки не хватает, но есть же скрипты?

                      0
                      Домохозяйки не умеют в скрипты.
              0
              Зачем обновлять, если и так работает?
              /сарказм
              +6
              Всё понятно, но при чём тут Микротик, если 3/4 статьи о «прекрасном» mail.ru?
                +3
                Анекдот №-10050861.
                  0

                  Микротик тут при том, что атаковавшие DNS-подменой домен mail.ru вызвали проблемы у сидящих за микротиком, по факту оказавшимися уязвимыми на этапе DNS cache poisoning или что там использовали атакующие. Стало быть, обновлять надо Микротик, mail.ru тут вообще ни при чем, а ТС… "приколист".

                  +10
                  сенситивная информация

                  Как же режет слух такое коверканье двух языков сразу. Чувствительная информация!
                    +3
                    А скрипт дать в статье слабо? Мейлру в своей стиле.
                    /system package update check-for-updates
                    :delay 5
                    :if ( [/system package update get installed-version] != [/system package update get latest-version] ) do={
                    /system package update download
                    /system reboot
                    }
                    

                    И сразу на обновление FW, в шедулере скрипт ставится на стартап.
                    
                    :if ( [/system routerboard get current-firmware] != [/system routerboard get upgrade-firmware] ) do={
                    /system routerboard upgrade
                    /system reboot
                    }
                    
                      0
                      Спасибо, думаю это будет полезно.
                      У меня действительно нет опыта работы с Mikrotik'ами.
                        +2
                        Отличный способ сломать что угодно. Хоть бы на long-term тогда уж переключили.
                          0
                          Самый популярный не актуальный комментарий с 2014 года.
                            0
                            Ипсек мне обновления ломали последний раз в 2018 году, оспф — год назад, а вайфай на arm архитектуре — две недели назад.
                            Можно читнуть ченжлоги, чтобы оценить количество регрессий.
                            Да и тот же ипсек например они регулярно перерабатывают — то целыми разделами, то просто могут один аттрибут поменять. В итоге бэкап конфигурации не заливается, и начинаются трудности.
                              0
                              Как это связано с домашним пользователем? Ему не нужны эти фичи, ему нужны ВК и Ютубчик.
                                –1
                                Примерно так же, как ваш комментарий связан с комментарием, на который вы отвечаете.
                          0

                          Когда комментарий полезнее статьи

                            0
                            Кажется те кто не обновляет роутер всё равно не умеют в скрипты. Лучше уж указать куда тыкать в веб-интерфейсе и winbox-е.
                              0
                              Все равно делать не будут. Легче сделать самому, поставить шедулер раз в месяц или 2 и забыть.
                            –6
                            Купил микротик, пое.пробовал… Выкинул в резерв на черный день, купил Зухель (удивительно, но чуть ли не дешевле)

                            И да, прочувствовал, как весь инет на дефолтной настройке ходит ДНСить через меня. Исправление этого, правда, не помогло принципиально хреновому Вайфаю
                              +3

                              Дело не в том что микротик трудно настраивать, а в том что его нужно настраивать.
                              Зухель — устройство для домохозяек. Его включил и все работает. А как оно работает? — А никому и знать не надо.
                              Микрот же — устройство которое умеет практически всё и вся. И да, его нужно настраивать.

                                +5

                                Микрот же — устройство которое умеет практически всё и вся


                                Кроме OpenVPN по UDP…
                                /sarcasm off

                                  0

                                  Я не зря уточнил "практически" :-D

                                    +1

                                    RouterOS 7 уже умеет. Правда пока beta. Но тянули очень долго.

                                      –1
                                      Адепты openvpn в 2020 году выглядят комично
                                        +1

                                        А как надо?

                                          +1
                                          OpenVPN поднялся без проблем на VPS с Ubuntu, а вот с L2TP/IPSec или IPSec Xauth что-то сходу не вышло…
                                            0
                                            Сейчас если и поднимать — то ipsec/ikev2. Ну или sstp какой-нибудь, если хочется маскировать под https.
                                        0
                                        Еще раз. Там отвратительный Wifi -модуль оказался. При относительно свободных каналах — не мог прокачать на телевизор стабильный поток в 1-2 Мбит (6м, 1 стена). Моделька правда была простейшая — hap или даже lite

                                        Единственный плюс, что я теперь прилично так выучил про устройство Вайфая и его настройку на Микротике =)
                                          0
                                          Хм, очень странно, у меня был самый дешёвый hap lite и проблем не было. Не повезло, может быть.
                                            0
                                            У меня к hap lite только одна предъява. Зажали флеша и после того как накатил доп пакет для IPTV перестало хватать памяти на апдейт. Вот тяжело было постывит чуть болше флеша, там разница копеечная. Зато теперь любой апдейт это танцы с бубном с удалением части пакетов потом их установкой новой версии. Чему удивлятся что многие пользователи не обнавляются.
                                          0
                                          Вы настраивали мощность устройства? Если нет, то возможно в этом проблема.
                                            0

                                            Причем рекомендация звучит "попробуйте уменьшить выходную мощность"

                                              0
                                              проверено
                                            0
                                            В вашем случае можно лишь посоветовать проводить радиообследование, хотябы утилитами встроенными в микротик:

                                            /int wi spectral-history wlan1
                                            /int wi spectral-scan wlan1
                                            /int wi snooper snoop wlan1
                                            /int wi sniffer sniff wlan1
                                            


                                            Возможно с каналом, который использовался, были какие-то проблемы.
                                            А голословно заявлять, что у mikrotik радио говно — ну это так себе дело.
                                              0
                                              ставим прибор 1 — работает плохо, настраиваем — работает лучше, но все= плохо
                                              ставим прибор 2 — просто работает

                                              при чем тут голословно?

                                              обследование занятости каналов я тоже делал, каналы менял, мощность крутил, всевозможные мануалы курил…
                                                0
                                                Если надо поставить и чтобы работало (подразумевается без знаний и грамотной настройки) это не про микротик.
                                                Именно поэтому многие до сих пор свято верят, что тик не дружит с айфонами, имеет дерьмовый радиомодуль и тому подобные нелепые утверждения, не имеющие ничего общего с действительностью.

                                                при чем тут голословно?

                                                Мне ещё не разу не довелось иметь дело со случаем с микротиковским радио, где не удалось найти причину плохой работы wi-fi или после установления причины ее не удалось решить. С этим и связан мой скепсис. Тем более 1-2 мегабита всего. Это уже похоже на 2-3 армированные, несущие стены до приемника.
                                                0

                                                Ответственно заявляю, как пользователь целой гирлянды микротиков — вай-фай в них барахло… Перечень устройств, побывавших в моих руках приличный, начиная от секстантов и свитчей, заканчивая нынешним rb4011… Ни в одном устройстве вай-фай не работал так, как я хотел… Паршивый Сяоми нано работал в разы лучше, чем crs109 или rb962 (hap ac)… Сейчас работает связка из rb4011 и Асус rt-ac51u, который настроен обычной ap…

                                                  +1
                                                  Ни в одном устройстве вай-фай не работал так, как я хотел…

                                                  А какие требования предъявлялись?
                                                  В моем случае как раз возможности wi-fi микротика позволили расширить горизонт применения и посмотреть на беспроводные линии по другому. Взять хотябы возможность использовать wi-fi модуль как uplink. В то время как тот же самый радиомодуль раздает wi-fi под другим SSID. Это можно как nat`ить, так и за`bridge`вать с локальной сетью с любой фильтрацией на границе. Очень удобно в некоторых случаях, если надо ретранслировать сигнал или зацепиться за оператора без проводов.

                                                  Ответственно заявляю, как пользователь целой гирлянды микротиков

                                                  Разумеется следует поверить на слово, что руки у вас золотые, и в копилке личных достоинств как минимум несколько вендорских сертификатов по беспроводным сетям микротика?
                                                  Основная проблема людей связавщихся с микротиком заключается в том, что если на него пересаживаться с домохозяйских устройств (*link, zycel, asus), без понимания работы технологии — хорошего результата не добиться. Это как с rc-модели вертолета пересесть за штурвал настоящего. И я не топлю, что микротик это лучшее что есть на рынке. Но это лучшее за свои деньги.
                                                    0
                                                    А уж какая там фильтрация подключаемых клиентов… Да еще и ширина каналов 5 и 10МГц, которая спасает в городе.
                                                      0
                                                      о да, пока не появилась возможность для радиомоста в гараж промежуточную точку поставить, только 5МГц и спасался через переотражёнку, на десятке постоянно падал канал
                                                      0
                                                      Я хотел, чтобы вайфай у меня работал хотя бы в соседней комнате, а не терялся в ноль… Уверяю вас, что микротик у меня выполняет достаточно много интересных функций в качестве маршрутизатора, но речь идёт щас именно о вайфае… так вот, малюсенький сяоми нано давал в 5Ггц в дальней комнате 65 мегабит на телефон Пиксель2, тогда как с hAP ac и нынешним rb4011 5ГГц интерфейс вообще не видит, а 2ГГц либо теряет либо модуляция на уровне 2 мегабит… При этом, если использовать интерфейсы именно микротика, то 802.11ac вообще непонятно себя ведёт — постоянно отваливается на ровном месте. С подключенным Асусом таких проблем нет… Можно аппелировать к тому, что именно эта модель неудачная, но повторюсь, у меня на руках перебывала целая вереница устройств микротик (именно из-за расширенного функционала по маршрутизации и приоритезации пакетов), ни у одного не было достойного вайфая… А уж историю про Секстант, который просто сгнил на мачте за полгода, я рассказываю всем друзьям, когда просят посоветовать радиомост…
                                                        0
                                                        Я не ваш друг, безусловно, но не могли бы и мне рассказать?
                                                          0

                                                          Для передачи интернета с одного своего дома на другой (к родителям), поставил радиомост из секстантов 5ГГц. Расстояние около 2 км, линк завелся на уровне 60 мегабит, что было неплохо. По прошествии примерно 3 месяцев стали наблюдаться провалы в линке, падение скорости и общее ухудшение связи. Сначала я это списывал на весну и увеличение листвености (в первой зоне Френеля стояло дерево и на нем появились листья), но потом линк стал просто отваливаться, причём в логах стали появляться сообщения о том, что устройство было перезагружена по питанию. Я снял одно из устройств и открыл корпус, слава богу, он пластиковый и на защёлках. Каково было моё удивление, когда увидел, что весь текстолит повздувался и весь smd монтаж был покрыт хлопьями окислов… В общем, от pcb практически ничего не осталось… У второго устройства из этого моста ситуация была получше, но тоже наблюдались окислы на smd элементах… По гарантии менять не стал, слишком муторно. Поставил Юбикьюти Пауэрбридж, уже пять лет стоят и радуют 270 мегабитами реального линка…

                                                            0
                                                            Любопытно, впервые о таком слышу, а фотографий не осталось?
                                                              0
                                                              По гарантии менять не стал, слишком муторно

                                                              Свежо предание, а верится с трудом
                                                                0

                                                                Перерыл весь архив, к сожалению, нашёл только фото перед отправкой покупателю с Авито… Вам придётся вам поверить мне на слово…
                                                                https://photos.app.goo.gl/ywefWcKSXv7W45XLA

                                                    +1
                                                    возможно, лично вам не повезло
                                                    через меня много микротиков прошло, десятки
                                                    два эпизодически зависали по железу и требовали перезагрузки по питанию, явно брак (не критично, оставили, как есть, трудности с воспроизводством проблемы)
                                                    ещё один терял прошивку при определённом стечении обстоятельств (заменён по гарантии)
                                                    в остальном проблем никогда не встречал, кроме собственного рукожопства
                                                    более того, личный опыт мне говорит, что 951-е имели радиомодуль лучше, чем большая часть потребительских роутеров того же ценового диапазона в 2012-2014 гг, как по стабильности работы, так и по покрытию, проводили несколько экспериментов
                                                    также неоспоримый плюс: видео один микротик — знаешь их все
                                                    все остальные постоянно норовят интерфейс помоднее прикрутить и настройки запрятать понеочевиднее
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      Смотря насколько «обычной». Если нужно просто воткнуть кабель и чтобы ютуб открывался — совсем просто. Если нужно пробросить порты на конкретные машины — ну, там уже довольно устрашающий интерфейс. ДинДНС — ЕМНИП, надо писать скритп, который бы по крону стучался по указанному адресу и обновлял собственный айпи. IPTv — нужно прописывать правила firewall и прокси, и по последним двум пунктам уже нужно сколько-то разбираться, и мне не кажется, что ДинДНС и IPTv — это какие-то прям вот сильно экзотические применения. Ну и как в том анекдоте «рубль за то, что кнопку нажал, а 99 — за то что знал, какую нажимать», тот же проброс портов и статик лизы прописываются тремя цифрами, но чтобы понять, куда эти три цифры вписать — нуу, нужно более или менее внятно понимать, чего конкретно хочется, в условном тплинке можно тупо перебрать все пункты меню и необходимый бросится в глаза.
                                                        0
                                                        Что при этом в Микротик хорошо — можно просто открыть официальную документацию и там всё будет расписано по шагам.
                                                        0
                                                        например, «обычный» билайн работает через l2tp, который в микротике настраивался весьма интересно
                                                    0
                                                    port 8291

                                                    И как всегда собака порылась не столько в самом функционале роутера, сколько в сомнительной полезности виндопримочке.

                                                      0

                                                      А ещё андроидопримочке и айосопримочке.

                                                        0

                                                        Но полезности от разнообразия платформ больше не стало :-)

                                                          0

                                                          Это ваше мнение. Более того, моё с ним не совпадает.

                                                      +1
                                                      Интернет-провайдерам стоит фильтровать этот порт на своих сетях, чтобы защитить корпоративных пользователей.

                                                      А вот давайте только без этого, а то такими темпами мы быстро дойдём до «А давайте отфильтруем всё и оставим только 80 порт для вот этого вот белого списка IP»
                                                        0
                                                        53-й
                                                        все должны пользоваться только нашими ДНСами, в которых всё заблокировано в соответствии с указаниями роскомцензуры
                                                        0
                                                        Я вот пытался обновить Микротик. Как только обновляюсь до версий 6.45, отваливаются IpSec`и. Вернее начинают отваливаться каждые 2-20 мин. Работать невозможно. Откатываюсь на 6.44.6 — все ок. Пробовал писать в саппорт, даже не отписались (кто-нибудь получал ответ от саппорта хоть раз?). Может я, конечно, и не настоящий сварщик, но проблему решить не получилось. Получилось получить по шапке за остановку работы бухгалтерии :)

                                                        В логах отвал IPSEC и его последующее восстановление.
                                                          0
                                                          у вас наверное арм архитектура.
                                                          Это нормально, обещают починить уже пару месяцев. Ещё через пару месяцев починят.
                                                        0

                                                        Думал, что для RouterOS новое обновление вышло после февраля 2020))

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое