Комментарии 27
Ну, хоть согласились - видно, в компании кто-то живой есть. А то по падению микротиковского сервиса dyndns и сервера активации лицензий chr (точнее, по «скорости» починки оных) было впечатление, что все в отпуске, и починкой важных для юзеров вещей просто некому заняться.
Одно радует: микротики все же куда менее массовы, чем все эти супербюджетные говнороутеры (в т.ч. с провайдерскими говнопрошивками), и в микротах можно хотя бы заблокировать атаку, просто донастроив роутер как надот
падению микротиковского сервиса dyndns
Справедливости ради, в данном случае регистратор засуспендил домен, что как бы уже вне зоны ответственности микротика (сами резолверы работали). Вот почему это случилось, мы не знаем, свечку никто не держал. Но буквально через день яндекс рапортует о масштабной ддос - так что возможно регистратор действовал на основании абуз от антиддос-служб*
* Тут вполне реалистично выглядит использование в ботнете доступа к микротикам по dyndns, далеко не все микротики висят на статических ip. Блокировка домена позволяет хотя бы частично на какое-то время выбить часть хостов из ботнета.
Так ещё этот dyndns отличная штука, чтоб точно сказать, что на ip - микротик. Может он и послужил как список для осуществления взлома устройств.
тоже подумал о том что из-за того что пытались перебирать все записи на dydns чтобы получить список всех микротиков пользующих его и dydns слег из-за этого
Так ещё этот dyndns отличная штука, чтоб точно сказать, что на ip - микротик.
Похоже перепутаны причина и следствие. Не всякий микротик использует Cloud DDNS, но при взломе удобно его включать - для последующего доступа извне. Для микротиков за натом, насколько я понял, использовался l2tp-client.
На скомпромитированных микротах настроен l2tp-client с именем lvpn.
Да пруфы дали бы уже, ибо это какой-то сговор, наши железки закрыты, микро ты че?
Дополню список портов от MikroTik устройств, окромя 5678, в публичном доступе давно есть socks4 на портах 4145,4153,3629 более 150 стран
В РФ, например, такое действо является противозаконным. Вероятно в некоторых странах тоже.
Тем не менее, есть еще рыцари..
https://habr.com/ru/post/424433/ - Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета
Кстати желающие могут проверить свои микротики на принадлежность к ботнету - https://radar.qrator.net/
Главный вопрос - через что ломали? Или это всё микротики с admin/admin (а уязвимость на их dyndns, через который получили список роутеров) ? Или через vpn порт? Или winbox порт?
На самом деле этот вопрос важен, т.к. даст представление о том, на сколько проблем отхватить смогли. А то мало ли, может это был какой-нибудь веб ассембли, который через локалку логинился на микротик с admin/admin.
Upd: а, там CVE-2018-14847
Скрипт автообновления прошивки роутера: https://github.com/beeyev/Mikrotik-RouterOS-automatic-backup-and-update
Можно настроить на запуск например каждую неделю.
По-хорошему, сам производитель роутера должен был сделать функцию обновления прошивки при выявлении критических уязвимостей.
проблема в том, что при автообновлении прошивки, конфиг может встать не так как надо и это уже беда и не работающий сервис. Т.е. бесконтрольно такое делать не хорошо.
Ну и добавить то, что автообновление это ребут, возможный скачек питания при ребуте и вообще не рабочее устройство, до приезда знаюшего и понимающего человека, а это вообще иногда беда бедой.
Про перезагрузку без предупреждения пользователей сервиса это вообще как?
Ага и потом сетевому инженеру или системному администратору каждую неделю проверять что ничего не сломалось после обновления.
Ок, согласен про минорные и билд обновления. (v6.m.b)
А как с мажорными предлагаете поступить? (v6 -> v7)
Отвечу вам и на комментарий @valentin-hl выше.
Там, где настолько критичная инфраструктура, что не допускает 1 минутного простоя сервиса, скачка питания и т.д., там все обновления, конечно, должны проходить вручную и под контролем специалистов с предварительным тестированием новой версии прошивки.
Но что-то я сомневаюсь, что у 200 тыс. зараженных роутеров везде так.
Короче, я считаю, что производитель должен был сделать функцию автообновления, как минимум включить её по-умолчанию для критических дыр в безопасности, естественно с возможностью отключения. И тогда масштаб ботнета был бы гораздо скромнее.
Некоторые и операционку годами не обновляют, только потом, когда словят проблемы, то обвинять вендора во всех смертных грехах как-то не очень спешат: сам отключил автобоновления - сам виноват.
Скромные вопросы.
1. Вы вообще пользовались устройствами MikroTik?
2. Вы их настраивали когда-нибудь?
Вас не смущает что одни и теже устройства имеют как 16 мегабайт флешки так и 128 мегабайт. Вот вышло у них обновление, а ты не можешь его скачать так как у тебя флешка переполнена хотя у других все нормально кроме таких же пользователей устройств с 16 мегабайтной флешкой.
Но автообновление проблему ликвидации уже существующего ботнета не решит, так как в defconf у единственного пользователя admin нет пароля, ip cloud по умолчанию включен кроме CHR.
А теперь подумайте ещё раз почему так много роутеров в ботнете. И почему MikroTik не делает автообновление.
Большинство пользователей: Как используют роутер с момента покупки? Просто подключаем кабели в гнезда и больше ничего не делаем. Не работает? Звонок другу, знакомому, провайдеру или сервисной службе с просьбой настроить.
Большинство администраторов: Как используют роутер с момента покупки? Подключаем сначала устройство к компьютеру, затем настраиваем, подключаем интернет и потом обновляем до последней LTS версии. Больше ничего не делаем.
Но автообновление проблему ликвидации уже существующего ботнета не решит ...
Никто такого и не говорил, кажется. Проблему можно было бы решить в 2018 году, если вы MikroTik автоматически пропатчил роутеры тем, кто их подключает и больше ничего не делает.
На ваши вопросы отвечаю: да, конечно, настраивал и использую.
Проблемы с 16 мегабайтной "переполненной" флешкой понятны, но при грамотной системе обновления всё это можно технически обойти, было бы желание у производителя.
Можно я вам тоже вопрос задам? Вы видели какая модель обновления в LTS версиях той же Ubuntu? Вот ровно то же самое нужно было бы и сделать Mikrotik.
Можно я вам тоже вопрос задам?
Да.
Вы видели какая модель обновления в LTS версиях той же Ubuntu?
Только обновления безопасности, если я правильно помню. Срок поддержки 5 лет.
Обновления ставятся автоматом если есть установленный с настройками по умолчанию unattended-upgrades. (Справедливо и для Debian.)
> Но автообновление проблему ликвидации уже существующего ботнета не решит ...
Никто такого и не говорил, кажется.
Ваша правда.
Перечитал более внимательно текст статьи. Там не только про MikroTik RouterOS речь идет.
... вредоносное ПО, которое пытается перенастроить сетевые устройства MikroTik с компьютера на базе Windows, расположенного внутри домашней сети. ...
Я думаю, что кроме автообновлений RouterOS, нужно научить условно не обучаемых пользователей Windows периодический проверять: обновления в центре обновления Windows, ПК на наличие вредоносного ПО и настройки брандмауэра Windows. А также для условного большинства проверить разого наличие права на использование Windows и других программ на компьютере.
Mēris по-латышски чума.
MikroTik признала, что ботнет был из ее устройств и согласилась с названием, которое ему дали в Qrator и «Яндексе»