Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Omijanie reguł zapory w routerach Mikrotik

11 marca 2019, 17:14 | W biegu | komentarzy 9

Firma Tenable informuje o odkryciu podatności w firmware RouterOS łotewskiego producenta Mikrotik. Luka CVE-2019-3924 umożliwia wysyłanie pakietów TCP oraz UDP przez port służący do zarządzenia Winbox. Problem związany jest z przekierowywaniem połączeń. Sam port jednak musi być “otwarty”, co wymaga zmiany konfiguracji właśnie poprzez jego opcję “Firewall router”, gdzie decydujemy o “wystawieniu” na świat routera.

Podatność została już załatana. Router to bardzo ważny punkt bezpieczeństwa każdej infrastruktury. Należy zadbać o aktualność oprogramowania układowego, a jeśli nasz sprzęt nie otrzymuje już aktualizacji, warto zastanowić się nad zainstalowaniem w nim OpenWRT, który w dodatku obsługuje połączenia VPN, dzięki czemu cała komunikacja sieciowa będzie szyfrowana i anonimowa.

W notatce opublikowanej przez Tenable znajdziemy PoC i gotowy exploit napisany w języku Python. Pobiera on adres IP routera oraz port i wysyła mu pakiety, po czym informuje o poprawnym przebiegu ataku. Kod i wykonanie ataku jest bardzo proste, dlatego popularne w Polsce routery Mikrotik powinny zostać zaktualizowane. Autorzy określają poziom zagrożenia jako “średni”, prawdopodobnie dlatego, że dotyczy jedynie routerów z “wystawionym” na świat Winbox.

Błędy w routerach zdarzały się i wciąż będą występować. Mikrotik słynie z długiego wsparcia dla swoich urządzeń. Niemniej jednak w ubiegłym roku byliśmy świadkami dwóch poważnych podatności dotyczących zdalnego wykonania kodu na urządzeniu Mikrotik oraz Winboxa.

-mg

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Artur

    Jak ktoś nie zalatal w zeszłym roku routera na winboxa to i tak już router nie należy do niego :)

    Odpowiedz
    • sporo jeszcze śmiałków jest (patrz shodan)

      Odpowiedz
  2. Piotr

    OpenWrt
    Nie OpenWRT, openWRT, OPENwrt, itp.

    Odpowiedz
  3. Piotrek

    To już kolejna dziura wykorzystująca dostęp po portcie winboxowym. Tak przy okazji – na Mikrotiku też da się odpalić OpenVPN-a, więc nie ma potrzeby wystawiania dostępu WinBox na świat.

    Odpowiedz
  4. Marek

    Możecie polecić jakiś stosunkowo niedrogi sprzęt pod dd-wrt / ew. openwrt, który by miał dobre, szybkie i MOCNE wifi? (duża konkurencja na wszystkich kanałach na osiedlu pełnym bloków). Dzięki!!

    Odpowiedz
  5. Dziurawe te Mikrotiki…

    Odpowiedz
    • hmm

      Tak? Wszystko inne nie jest dziurawe?

      Odpowiedz
  6. Piotr

    Jedną z pierwszych rzeczy jakie się robi na MT to blokuje administrację w sekcji services. Ogólnie MT po zresetowaniu jest goły i trzeba go sobie samemu zabezpieczyć bo defaultowa konfiguracja pozwala na zbyt wiele.

    Odpowiedz

Odpowiedz