Виявлена критична вразливість у програмному забезпеченні Routeros MikroTik!

Останнім часом одразу декількома моніторинговими центрами були виявлені чисельні сканування портів TCP 8291. Стандартний порт на якому знаходиться сервіс Routeros winbox на роутерах MikroTik. Після детального вивчення вектору атаки було виявлено, що сканування робить ботнет «Hajime» (або його версія).

Вразливі усі версії Routeros MikroTik починаючи з 6.29 і до 6.42 (можливо вразливі тільки «mips» пристрої, але краще оновити всіпристрої MikroTik що є у вас в наявності)
Хронологія подій:
1 – сканування відкритого порту TCP 8291 (якщо порт відкритий атака продовжується)
2 – сканування відкритого порту TCP 80,81,82,8080,8081,8082,8089,8181,8880 (зазвичай адміністратори не вимикають http сервіс керування роутером)
3 – перевірка версії Routeros MikroTik, та завантаження експлоіта (скоріше за все, використовується ‘Chimay Red’ Stack Clash Remote Code Execution) через відкритий http порт
4 – заражений роутер завантажує, та запускає ботнет «Hajime»
5 – у зловмисників є повний контроль над роутером і він стає частиною ботнет мережі.

Як виявити заражений роутер:
– Переглянути лог файли на наявність доступу до керування через winbox з незнайомих IP.
– Переглянути чи не з’явився новий користувач в системі.
– Перевірити навантаження процесора на роутері, та на наявність незвичайного трафіку що генерується самим роутером.
Якщо було виявлено що роутер було заражено, найкращим варіантом буде перевстановлення системи (у випадку Х86), або оновлення версії Routeros.
На теперішній час версії з виправленнями 6.42.1, 6.43rc5 та 6.40.8 (bugfix only), перед оновленням слід зберегти конфігурацію роутера на інший пристрій.

ЯК ЗАХИСТИТИ РОУТЕР ВІД СКАНУВАННЯ ТА АТАК:

– відключити всі сервіси керування крім SSH та winbox, якщо потрібні інші сервіси, то в опціях сервісу необхідно прописати дозволені IP адреси;
– керування роутером та snmp винести в окремий інтерфейс, що доступний тільки адміністраторам та системам моніторингу;
– змінити стандартні логіни та паролі;
– фаєрволом обмежити доступ тільки з дозволених IP;
– фаєрволом ввімкнути логування спроб доступу на порти керування роутером;
– налаштувати паралельне логування на іншу машину в мережі (remote syslog);
– налаштувати моніторинг роутеру через snmp протокол (Zabbix, cacti, nagios, PRTG), та при виявленні незвичайних даних на моніторингу дослідити причину такої поведінки;
– своєчасно оновлювати програмне забезпечення та firmware Routeros MikroTik;
– не передавати логіни та паролі іншим людям, та не зберігати їх на робочому столі у текстових файлах, або на листочку біля монітору!

Інформацію про факти сканування та атаки можна отримати за наступними посиланнями:
https://www.bleepingcomputer.com/news/security/mikrotik-patches-zero-day-flaw-under-attack-in-record-time/
https://blog.netlab.360.com/quick-summary-port-8291-scan-en/
https://twitter.com/craiu/status/989052729480876032

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0
Коментарі: 0Публікації: 203Реєстрація: 02-10-2017