Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Omijanie reguł zapory w routerach Mikrotik
Firma Tenable informuje o odkryciu podatności w firmware RouterOS łotewskiego producenta Mikrotik. Luka CVE-2019-3924 umożliwia wysyłanie pakietów TCP oraz UDP przez port służący do zarządzenia Winbox. Problem związany jest z przekierowywaniem połączeń. Sam port jednak musi być “otwarty”, co wymaga zmiany konfiguracji właśnie poprzez jego opcję “Firewall router”, gdzie decydujemy o “wystawieniu” na świat routera.
Podatność została już załatana. Router to bardzo ważny punkt bezpieczeństwa każdej infrastruktury. Należy zadbać o aktualność oprogramowania układowego, a jeśli nasz sprzęt nie otrzymuje już aktualizacji, warto zastanowić się nad zainstalowaniem w nim OpenWRT, który w dodatku obsługuje połączenia VPN, dzięki czemu cała komunikacja sieciowa będzie szyfrowana i anonimowa.
W notatce opublikowanej przez Tenable znajdziemy PoC i gotowy exploit napisany w języku Python. Pobiera on adres IP routera oraz port i wysyła mu pakiety, po czym informuje o poprawnym przebiegu ataku. Kod i wykonanie ataku jest bardzo proste, dlatego popularne w Polsce routery Mikrotik powinny zostać zaktualizowane. Autorzy określają poziom zagrożenia jako “średni”, prawdopodobnie dlatego, że dotyczy jedynie routerów z “wystawionym” na świat Winbox.
Błędy w routerach zdarzały się i wciąż będą występować. Mikrotik słynie z długiego wsparcia dla swoich urządzeń. Niemniej jednak w ubiegłym roku byliśmy świadkami dwóch poważnych podatności dotyczących zdalnego wykonania kodu na urządzeniu Mikrotik oraz Winboxa.
-mg
Jak ktoś nie zalatal w zeszłym roku routera na winboxa to i tak już router nie należy do niego :)
sporo jeszcze śmiałków jest (patrz shodan)
OpenWrt
Nie OpenWRT, openWRT, OPENwrt, itp.
To już kolejna dziura wykorzystująca dostęp po portcie winboxowym. Tak przy okazji – na Mikrotiku też da się odpalić OpenVPN-a, więc nie ma potrzeby wystawiania dostępu WinBox na świat.
Możecie polecić jakiś stosunkowo niedrogi sprzęt pod dd-wrt / ew. openwrt, który by miał dobre, szybkie i MOCNE wifi? (duża konkurencja na wszystkich kanałach na osiedlu pełnym bloków). Dzięki!!
Pełna lista routerów ze wsparciem dla standardu 802.11ac, na których można zainstalować OpenWrt: https://openwrt.org/toh/views/toh_available_864_ac-wifi
Dziurawe te Mikrotiki…
Tak? Wszystko inne nie jest dziurawe?
Jedną z pierwszych rzeczy jakie się robi na MT to blokuje administrację w sekcji services. Ogólnie MT po zresetowaniu jest goły i trzeba go sobie samemu zabezpieczyć bo defaultowa konfiguracja pozwala na zbyt wiele.