MikroTik Alert Security
Od niedawna grasuje ponownie znany nam Exploit na MikroTik-a który wykorzystuje lukę w zabezpieczeniach wykradając nam bez naszej wiedzy loginy i hasła. Byliśmy świadkiem jak ten wirus działa i powiem szczerze nie chcielibyście tego na swojej sieci doświadczyć. Wypiszę kilka rad które powinniście czym prędzej zmienić / zaimplementować zanim owy atak dotknie Was. Poniżej znajduje się lista rzeczy które należy zrobić już jak i opcjonalnych zabezpieczeń które również pomogą w utrudnieniu dostępu do Waszej sieci a tym bardziej jakiegoś routera BGP bez którego dana firma przestanie działać / istnieć.
- Najnowsza wersja oprogramowania RouterOS – to chyba najważniejszy punkt tego zabezpieczenia
- Zmiana portu do usługi Winbox w dziale (/ip services) – można by powiedzieć że należy go tak samo zmienić jak port do SSH
- Adres IP najlepiej ustawić z sieci prywatnej i tylko forwardować wysoki port do zdalnego połączenia
- Przed logowaniem w Winbox zaznaczyć opcję Secure Mode !
- Opcjonalnie można dodać adres lub klasę z wewnątrz sieci kto ma być autoryzowany do urządzenia
- Wyłączenie konta w dziale (/system users) o loginie admin i stworzenie nowego z mocnym hasłem (małe i duże litery, cyfry i znaki specjalne, min 12 znaków można i więcej jak ktoś ma dobrą pamięć)
- Ograniczenie włączonych usług do minimum zalecane SSH jeśli ktoś nie czuje się na siłach to SSH i Winbox ale obie usługi na innych portach niż domyślne
- Wyłączenie bądź ograniczenie anonsu typu Neighbor znanego nam z sekcji (/ip neighbors) – tak tak jeśli macie więcej MikroTików na sieci to również będą one celem ataku
- Dodanie zapory ogniowej typu Firewall który dodatkowo utrudni dostęp
- Opcjonalnie można skonfigurować prostą metodę dostępu znaną tylko tym administratorom którzy mają mieć dostęp mowa tutaj o np. zrobieniu czegoś aby dany port lub urządzenie było dla nas dostępne. Można wykorzystać tzw. pukanie czyli wysłać ping o odpowiedniej wielkości pakietu tak aby Firewall dopisał nasze IP do listy dopuszczonych adresów dla pakietu typu New. Potem jak wejdziemy to już będziemy w trybie Established i będzie można przerwać pingowanie.
Wszystko fajnie opisałeś powyżej jednak jak to się ma do mojej sieci ? O tuż to że nawet jeśli nie miałeś ataków to nie jest powiedziane że możesz go właśnie teraz nie mieć. Poniżej opiszę przykładowy atak a bardziej skutek gdy właśnie ktoś już go zaatakuje.
Po udanym logowaniu na urządzenie będzie przeprowadzony test wersji aktualnie zainstalowanej wersji RouterOS-a aby atakujący wiedział jakie ma potencjalne możliwości dostępu. Następnie zostanie pobranych kilka plików w tym Exploit który jest binarką ELF-ową o nadanym rozszerzeniu jpg (w naszym przypadku). Atakujący będzie zmieniał porty usług i dodatkowo generował pliki zrzutów (snapshot) czy ktoś aby odkrył włamu do jego systemu. Zostaną nam zmienione porty np. dla Winbox na wysokie a reszta usług zostanie wyłączona tak byśmy nie mogli się ponownie do niego zalogować. Na domiar złego zostaniemy odcięci od konsoli RS232. Dodatkowo uszkodzą nam system co spowoduje jego destablizację i będzie się wysypywać o różnych porach gdzie tylko reset prądowy pomoże. Aby nam bardziej uprzykrzyć życie zostanie nam uszkodzony Upgrad-er systemu aby nie móc wgrać nowej wersji oprogramowania. Pozostanie nam forma Netinstall zatem wiąże się to z wycieczką do wskazanego routera i to najczęściej gdzieś o parę set kilometrów aby było trudniej.
Oczywiście naszemu kontu o loginie admin zostanie zmienione hasło i aby było ciekawiej atakujący zostawili nam niespodziankę w postaci skryptu i usługi Cron-a (Scheduler) który nam co jakiś czas to hasło zmieni. Nic nie pozostaje nam jak tylko kupić czteropak piwa i się upić.
Jeśli już zostałem zaatakowany i w jakiś sposób odzyskałem kontrolę nad MikroTikiem to co dalej zalecasz zrobić ? Przede wszystkim to zrób zrzut konfiguracji do postaci skryptu RSC czytelnego z poziomu notatnika Windowsowego czy Linuxowego. Gdy to zrobisz będziesz musiał pobrać narzędzie Netinstall i wgrać ponownie tą metodą jeszcze raz najnowsze oprogramowanie formatując cały dysk czy pamięć Flash nie tracąc Licencji. Dopiero po tym zabiegu możemy być pewni że już nic nie zostało na dysku co mogło by się uruchomić wraz z systemem i nanieść swoje poprawki do działającego systemu. Teraz wykonaj powyższe punkty które zabezpieczą przed ponownym atakiem. NIE WGRYWAJ wcześniej wygenerowanego i pobranego zrzutu konfiguracji skryptu RSC ! Należy go otworzyć w jakimś edytorze i ręcznie odtworzyć tylko te rzeczy które są nam niezbędne do działania w tym segmencie sieci przy czym należy zwracać uwagę czy aby nie ma tam tzw. dokleiki kodu która mogła by ponownie zagrozić naszemu bezpieczeństwu np. poprzez dodanie konta z uprawnieniami administracyjnymi czy zmiana portu dla usług bądź aktywacja tych która brała udział w ataku w dostępie do tej platformy.
To by było na tyle. Jeśli nie czujesz się na siłach aby odzyskać dostęp do urządzenia bądź wyczyścić go po ataku zleć to specjalistom ! Możemy odpłatnie wykonać taką usługę wraz z wgraniem odpowiednich zabezpieczeń i wydaniem zaleceń jak utrzymać swojego MikroTika w dobrej kondycji pod względem bezpieczeństwa. Skontaktuj się z nami nim będzie za późno !