Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен

    Сначала новость, потом мои рассуждения на эту тему.

    Новость


    Помните прошлогодние утечки об уязвимостях в Cisco и Fotrinet (раз, два, три)? Тенденция сохраняется. 7 марта СМИ опубликовали информацию про очередные секретные данные о наработках спецслужб США в области сетевых технологий — Vault 7. Среди вендоров был и MikroTik. Представители MikroTik отработали достаточно оперативно. Они сами проанализировали эти документы и прокомментировали данные об уязвимостях. Заодно выпустив обновлённую версию (8 марта), закрывающую уязвимости.

    Согласно представителям MikroTik, уязвимость в веб интерфейсе маршрутизаторов RouterOS (ROS). Подробностей уязвимости пока нет. Есть рекомендация: обновить версию (версия 6.38.5 или релиз-кандидат — версия 6.39rc49). Также сообщается, что по-умолчанию настройки RouterOS запрещают доступ к веб интерфейсу со стороны интернета (но он доступен из локальной сети). Другая рекомендация — ограничить доступ по спискам доступа — только тем IP-адресам, которым это действительно нужно. Некоторые железки (например, с архитектурой mipsle) более не поддерживаются. Поэтому не стоит ждать обновления, закрывающее уязвимость. Судя по сообщениям от представителей MikroTik, для эксплуатации уязвимости авторизация не требуется.

    В changelog к обновлённым версиям — лаконичное:
    fixed http server vulnerability

    Моё ИМХО


    Исходя из собственного опыта работы с RouterOS (как любитель, 4 года стажа + несколько лет опыта работы пентестером), озвучу пару мыслей. Что касается конфигурации по-умолчанию, которая закрывает доступ из интернета на веб-интерфейс. Тут есть нюанс. Если говорить о недавно купленных железках, или железках, обновлённых до определённых версий, на которых потом сделать сброс настроек до заводских — да, там всё неплохо: полноценные правила, которые закрывают доступ извне, оставляя только доступ из локальной сети. Но такое на практике попадается редко. Гораздо чаще встречаются 2 другие ситуации:

    1. Не самая свежая версия RouterOS 6.x. В этом случае блокирование доступа извне интерпретировалось заводской настройкой исключительно как блокировка по интерфейсу ether1-gateway (первый сетевой порт, при отсчёте слева на право). При этом пользователи, провайдеры которых выдавали выделенный IP, например по PPP-соединению, попадали в нехорошую ситуацию: из интернета к ним можно было «достучаться». С некоторых пор конфигурация по-умолчанию помимо запрета входящего трафика по интерфейсу ether1-gateway, включает запрет входящего трафика по интерфейсам all ppp.

    2. Изменение заводской настройки firewall. В этом случае обновление до последней версии RouterOS не добавит блокировку входящего трафика по интерфейсам all ppp. Я могу предположить, что это для сохранения конфигурации в том виде, в котором пользователь её создавал. Т.е. если пользователь вмешался в конфигурацию по-умолчанию и сам не удосужился добавить правила, которые запретят доступ извне — обновление за него делать это не будет.

    Что касается доступа к железке только с разрешённых адресов — я на практике предпочитаю использовать реализацию port knoking. Есть различные её варианты реализации (раз, два, три). В своей реализации я ограничил время жизни таких записей (параметр address-list-timeout) — чтобы не захламлять список разрешённых адресов записями, потерявшими актуальность.
    Поделиться публикацией

    Комментарии 35

      0
      Что касается доступа к железке только с разрешённых адресов — я на практике предпочитаю использовать реализацию port knoking.

      VPN принципиально не рассматриваете?
        0
        У меня сложилась культура работы: port knoking + проброс порта на веб интерфейс через ssh (что-то вроде: ssh -L 80:127.0.0.1:80 user@routeros_IP)
        Плюсы: динамический ACL — защищает от не прошенных коннектов. SSH шифрует траффик, в т.ч. авторизацию в веб интерфейс. SSH работает из коробки, нет нужны запариваться с настройкой VPN.
        Но тут кому что нравится и кто какие плюсы\минусы для себя находит
        –1
        В changelog к обновлённым версиям — лаконичное:

        fixed http server vulnerability

        Раскрытие такой уязвимости сильно ударит по их коммерческой составляющей, ибо МикроТик за ними не следят на этапе разработки.
          –2
          Зачем покупать Mikrotik и потом использовать дефолтную конфигурацию?
            +5
            Петя Ламерский хочет домой фифи, а поскольку его два последних роутера прожили по году (успев задолбать петю своими зависаниями), то он спрашивает у сисадмина Васи Сетевского «а что мне поставить, чтобы не сдохло», сисадмин советует микротик, радужно описывая, что та мелкая коробочка за 2тр умеет тоже, что и кошка за 150000р. Петя покупает, включает и офигевает от того «уёё, а как это настроить то, Ваааасяяяя» Вася говорит ему «Вон, как открылось — там квик сетуп есть, введи там от провайдера что дают и пароль для фифи». Петя вводит и понимает, что усё работает…
              0
              Я не об этом говорил, на самом деле. Я говорил о людях, которые осознанно покупают Mikrotik, зная что делают. Но в вашей истории злодей — сисадмин Вася. Не надо советовать устройства такого типа Петям. Петям надо чтобы включил и работает. С тем же успехом можно посоветовать какой-нибудь Juniper SRX100.
                +4
                Как будто в условном asus-шайтан-500-машина с безопасностью из коробки всё хорошо.

                Микротики в линейке hAP AC повернулись лицом к клиенту и их _нужно_ советовать покупать всем домашним пользователям. И да, quick setup там теперь выполняет свою задачу, так что проблем с настройкой у среднего человека не возникнет.
                  +2
                  Не вижу ни одной причины, чтобы не советовать надежную, производительную и безопасную железку. Уже одного факта, что маршрутизатор гарантированно не виснет, достаточно для его рекомендации. Настраивать там нечего — большинство владельцев воткнёт ethernet-кабель от провайдера в порт 1 и больше им ничего делать не нужно, а если и понадобится что-то, то через веб-интерфейс он всё необходимое увидит прямо на главной странице настроек — в точности, как у дешевых Dlink, Tp-link, Asus.
                    +3
                    Более того — не виснет под нагрузками, а при этом стоит обычно еще и дешевле.
                    А уязвимостей в других фирмах находили тоже немерено.
                    0
                    Вот я покупаю микротик, осознавая, что я делаю. И во многих случая мне реально не надо менять ничего, что выходит за страничку quick setup (ну разьве что докинуть пару правил в фаервол и сторожевой таймер поднастроить). Ибо тут я за 5 т.р. получаю гораздо более надёжную железку, чем теже яйца от фирм на буквы Л, Д, А, Н. Причём иногда получается даже дешевле.
                    Как пример — самый дешманский routerboard (rb751) у меня спокойно тянул два месяца организацию со 100+ машинами на 100мбит канале (пока не приехал RB1100)
                      0
                      Так я не спорю что MT делают клёвые железки. Я с RouterOS работаю еще со времён 2.x. Сейчас у меня около десятка разных приборов крутятся — от RB951 до CCR1036 — по соотношению цена/функциональность/качество конкурентов пока нет. Но имея RouterOS, использовать только функции quick setup это всё равно что микроскопом гвозди забивать.
                        +2
                        Ну пока на рынке, для забивания гвоздей, есть только детские пластиковые молоточки и микроскопы, при одинаковой цене, приходится выбирать микроскопы. А в ряде случаев микроскопы еще и дешевле выходят.
                          +2
                          Если железка А обеспечивает требуемый функционал, но порой глючит, а железка Б обеспечивает требуемый функционал и ещё кучу всего и при всем этом не глючит — что вы купите, если они стоят практически одинаково?
                      0
                      Ну хз, я у кого не спрашивал сейчас все советуют микротик. Я не сетевик и не сисадминский гуру, до этого был зюхель кинетик, который ушёл родителям, а до этого тплинк, а до этого длинк… Сейчас использую RB951Ui-2HnD. Да, с наскоку его не настроить, функций не миллион, а миллиард, но quick setup поначалу всё решил и отлично работает с дефолтными настройками. Могу сказать что по стабильности работы и заявленной/ожидаемой производительности Микротик у меня на 1м месте, причём далеко от преследователей. Понятно что я использую лишь пару процентов функциональности этого роутера, но есть ли простая (ламерская) альтернатива в которой есть кнопка «сделать хорошо» и она будет работать 24/7?
                        0
                        Перепрошить зависающий роутер нормальной прошивкой.
                          0
                          Скажите, какую прошивку зашить в китайский блок питания. И ещё, какую прошивку зашить в DC/DC конвертер, который сделали с ошибками. Если что, это крупные косяки некоторых дешевых роутеров.
                            0
                            Если только в таком плане. Бывают виснут по иным причинам. И это происходит чаще чем левые блоки питания и шумящий преобразователь.
                            +1
                            Перепрошить зависающий роутер нормальной прошивкой.

                            Что имеется в виду под «нормальной прошивкой»? DD-WRT, OpenWRT? Ну, если много свободного времени — можно попробовать. Хотя не все роутеры поддерживают её. Не проще ли купить железку, которую не нужно перепрошивать, изучая мануалы и надеясь, что после перепрошивки железка не превратится в крипич?
                              0
                              Вся эта эпопея с доведением убого девайса до ума всё равно заканчивается покупкой качественного роутера с нормальной родной прошивкой.
                          +4
                          потому что их продают в обычном магазине кому угодно?
                            0
                            Вы предлагаете продавать их только после прохождения идиотен-теста?
                            Загнётся такой вендор.
                              0
                              Вы предлагаете продавать их только после прохождения идиотен-теста?

                              Я просто констатировал, откуда берутся такие пользователи.
                              Причем новости про «очередной ботнет на роутерах» из-за того, что в куче железок тупо не сменен пароль по умолчанию, они никогда не обновлялись и вообще настройки по умолчанию не лучшая защита — показывают, что это общая проблема для всех вендоров.

                              А так да, было бы неплохо доверять оборудование после прохождения обучения и сдачи тестов (а особенно идиотен-тестов). Только, вдруг тогда интернет вымрет — неудобно как-то получится…
                                0
                                Зря вы так. Кому нужны ваши тесты?
                                Если пользователя заботит безопасность — он сменит пароль.
                                Если же пользователь совершенно не против того что его пароль открыт — что в этом плохого.
                                Это точно так же как запирать квартиру на ключ.
                                Если я захочу я положу ключ от квартиры под коврик у двери. Что в этом плохого?
                                  +1
                                  Владельцы ботнетов полностью с вами согласны!
                            0
                            В Минске некоторые провайдеры, ставя абонентам GPON дают абоненту роутеры MikroTik.
                            Ну и такие абоненты, естественно не бум-бум в них.
                              0
                              Учитывая что в RouterOS теперь есть поддержка TR-069, это более-менее оправданно.
                                0

                                Расскажете, что за провайдеры? Хотя бы намекните :) Спасибо.

                                  0
                                  Попадалась информация, что Деловая сеть их дает пользователям и вроде бы TCM.
                                0
                                Затем, чтобы с чего-то начинать. Не все же родились со знанием всего и сразу. Хотя выражение «я купил микротик и снес заводскую настройку» теперь такое же модное, как «я не смотрю телевизор».
                                  0
                                  Да проблем и без дефолтной конфигурации хватает. Множество людей настраивают оборудование по инструкциям из этих ваших интернетов… Чего уж говорить, даже на хабре в какой-то статье про микротик netmap назвали улучшенной версией dst-nat… И куча вопросов по этому netmap вечно возникает… И это, вроде как, сисадмины… Так что…
                                    0
                                    У микротика и официальная документация написана так себе: очень много наивных howto и довольно вольные формулировки.
                                    0
                                    Некоторые оставляют веб-интерфейс доступным наружу, чтобы смотреть графики или конфигурить что-то.
                                    0
                                    Я сам обычно веб на микротике сразу убиваю, и сколько видел чужих настроек, в большинстве тоже вырублен. Это так, кто по дефолту все оставляет, но это проблема у многих вендоров есть. Особенно открытый WiFi :)
                                      0
                                      Странно наблюдать за двойными стандартами государств, которые ищут уязвимости что бы потом использовать, при этом нарушая свои же собственные законы.
                                        +1
                                        Думаю, не лишним будет отметить, что подобная уязвимость может эксплуатироваться даже если доступ к WebFig разрешен только с одного локального адреса. Например различные эксплоит-паки на которые каждый может напороться случайно в сети вполне могут содержать ссылки вида http://192.168.88.1/vulnerable_url (192.168.88.0/24 — дефолтная сеть в микротиках). Ваш браузер молча перейдет по ссылке и роутер будет скомпрометирован.
                                        Я бы вообще не рекомендовал использовать веб-интерфейс нигде и никогда. Либо использовать на нестандартных адресах/портах либо с доступом только с адреса с которого никто не занимается веб-серфингом.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое