Разработчики: | MikroTikls SIA |
Технологии: | Маршрутизаторы (роутеры) |
Содержание |
RouterBoard — аппаратная платформа от MikroTik, которая применяется в маршрутизаторах. Устройства на базе RouterBoard работают под управлением операционной системы RouterOS.
Различные варианты RouterBoard позволяют решать на их основе различные варианты сетевых задач: от простой беспроводной точки доступа и управляемого коммутатора до мощного маршрутизатора с брандмауэром и QoS.
Практически все модели RouterBoard устройств могут питаться с помощью PoE и имеют разъем для подключения внешнего источника питания.
История
2019: Обнаружено четыре уязвимости, позволяющих создавать бэкдор
30 октября 2019 года стало известно, что исследователи из компании Tenable обнаружили четыре уязвимости (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 и CVE-2019-3979) в маршрутизаторах MikroTik. По словам специалистов, неавторизованный злоумышленник с доступом к порту 8291 на маршрутизаторе может удаленно откатить ОС RouterOS до предыдущих версий, сбросить системные пароли и потенциально получить права суперпользователя.
Первым этапом в цепочке эксплуатаций является «отравление» кэша DNS (DNS cache poisoning). В Router OS по умолчанию отключена настройка DNS-сервера, но маршрутизатор по-прежнему поддерживает собственный DNS-кэш. DNS-запросы обрабатываются двоичным файлом «resolver», который подключается к протоколу Winbox. С помощью трех команд неавторизованный пользователь может отправлять DNS-запросы через маршрутизатор на DNS-сервер по своему выбору.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Следующим шагом в цепочке эксплуатаций будет откат RouterOS до версии 6.42.12 или более ранней (начиная с версии 6.43 MikroTik изменила механизм обработки пароля). Согласно журналу изменений проекта, «понижение до любой версии до 6.43 (6.42.12 и старше) удаляет все пользовательские пароли и позволяет авторизоваться без пароля».
С помощью вредоносного DNS-сервер злоумышленник может внедрить в кеш маршрутизатора ряд вредоносных IP-адресов, включая адрес загрузки. Когда маршрутизатор начнет поиск обновления, он попадет на сайт злоумышленника, а не на официальный сайт MikroTik. Вредоносный сайт может быть использован для установки более ранней версии, которую RouterOS посчитает последней.
Когда пользователь устанавливает «новое обновление», происходит обход обычной логики, которая запрещает переход на более ранние версии через обновление, и переключается на RouterOS 6.41.4. Так как нам удалось откатить RouterOS с версии 6.45.6. до 6.41.4, мы смогли получить пустой пароль администратора. То есть атакующий может авторизоваться как администратор, — поясняют специалисты. |
Механизм обработки .NPK-файлов подразумевает парсинг добавленного поля «part info», что может использоваться для создания каталога в любом месте на диске.
Файл поддержки бэкдора для 6.41.4 представляет собой просто /pckg/option. Пока файл существует, даже в виде каталога, бэкдор будет работать, — поясняют исследователи. |
Вышеуказанные уязвимости были исправлены компанией MikroTik в версии RouterOS 6.45.7[1].
2018
Уязвимость роутеров MikroTik позволяет повышать права до рута
В октябре 2018 года стало известно, что найденная ранее брешь в прошивке маршрутизаторов MikroTik оказалась намного серьезнее, чем считалось. Атака эксплуатирует уязвимость CVE-2018-14847, которая присутствует в утилите администрирования Winbox. Используя ее, хакеры обходят аутентификацию и получают доступ к произвольным файлам. Потенциально это может привести к удаленному исполнению произвольного кода.
Как сообщает ThreatPost, злоумышленники используют эту уязвимость для получения прав администратора и обхода защиты брандмауэра, тем самым получая доступ к сети и возможность выполнять вредоносный код.
Предыдущая версия уязвимости была исправлена в апреле 2018 года. Однако Джейкоб Бейнс из Tenable Research выяснил, что уязвимость в Winbox можно использовать для записи файлов на маршрутизатор, что является более серьезной проблемой.
Описание уязвимости гласит, что код исполняемого файла licupgr содержит вызов функции sprintf, которую возможно применить для удаленной активации переполнения буфера. Благодаря информации об уязвимости, атаки, которые ее используют, становятся опасней: CVE-2018-14847 позволяет хакерам извлекать учетные данные суперпользователя и исполнять любой код.
На октябрь 2018 года версии RouterOS до 6.42.7 и 6.40.9 подвержены атакам такого рода. По приблизительным подсчетам из сотен тысяч подключенных к сети роутеров только 35-40 тысяч получили обновление. Апдейты RouterOS версий 6.40.9, 6.42.7 и 6.43 были выпущены в августе 2018 года и устраняют эту уязвимость, а также исправляют ошибку, связанную с переполнением памяти для загрузки файлов и другие баги.
Еще предыдущая версия атаки использовалась для превращения маршрутизаторов в устройства для майнинга. В начале августа 2018 года было обнаружено, что около 200 000 уязвимых маршрутизаторов оказались скомпрометированы именно с этой целью.[2]
Тысячи роутеров MikroTik объединены в ботнет с эксплойтом ЦРУ/АНБ
Более 7,5 тысяч роутеров производства компании MikroTik оказались скомпрометированы вредоносным ПО, которое собирает данные о трафике и перенаправляет их на удалённый сервер, сообщил 4 сентября 2018 года The Register.
Согласно выводам исследователей компании 360 Netlab, злоумышленники использовали эксплойт к уязвимости CVE-2018-14847. Этот эксплойт был опубликован в рамках кампании WikiLeaks[3] и предположительно является одним из хакерских инструментов ЦРУ.
Помимо сбора данных трафика, через взломанные таким образом роутеры на подключённые к ним локальные компьютеры устанавливались криптомайнеры.[4]
От этой хакерской кампании пострадали пользователи по всему миру, но наибольшее количество жертв приходится на Россию (зафиксировано 40742 уязвимых устройств), Бразилию (42376 уязвимых устройств) и Индонезию (22441 уязвимых устройств). В топ-10 стран по числу жертв также вошли: Индия, Иран, Италия, Польша, США, Таиланд и Украина.
Эксперты отмечают, что вредоносное ПО, установленное на роутеры, совершенно спокойно переживает их перезагрузку, так что единственным надёжным способом его одолеть является обновление прошивки.
Для сохранения контроля злоумышленников над устройством даже после перезагрузки (смены IP), в устройстве сформирована задача периодически сообщать свой последний IP-адрес на конкретный URL, принадлежащий злоумышленникам, — говорится в отчёте Netlab. |
Эксперты также указывают, что злоумышленники продолжают активно искать уязвимые роутеры на базе ОС MikroTik RouterOS.
Какова конечная цель злоумышленников, эксперты пока не знают. Обращает внимание на себя то обстоятельство, что хакеров почему-то особенно интересует трафик с SNMP-портов 161 и 162.
Тут возникают некоторые вопросы, почему злоумышленников интересует сетевой протокол управления, которым обычные пользователи интересуются очень редко? Пытаются ли они мониторить и перехватывать SNMP-данные от каких-то специфических сообществ? — рассуждают в Netlab.[5] |
SNMP — это стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. Протокол обычно используется в системах сетевого управления для контроля подключённых к сети устройств на предмет условий, которые требуют внимания администратора.
Это выглядит как централизованный сбор информации. Вполне вероятно, что происходит поиск точек входа в сетевую инфраструктуру, возможно, даже в какую-то конкретную, с известными злоумышленникам параметрами, — полагает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Всё остальное может быть "дымовой завесой" и попытками извлечь прибыль. Но это, скорее всего, второстепенная задача. |
Примечания
- ↑ Уязвимости в маршрутизаторах MikroTik позволяют создавать бэкдор
- ↑ Уязвимость роутеров MikroTik оказалась серьезной и позволяет повышать права до рута
- ↑ Vault7
- ↑ Mikrotik routers pwned en masse, send network data to mysterious box
- ↑ 7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- ИИМК РАН (Институт истории материальной культуры РАН) | X-Com (Икс ком) | 2020.09 |
Подрядчики-лидеры по количеству проектов
Cisco Systems Russia (Сиско Системс) (5)
X-Com (Икс ком) (4)
Cisco Systems (3)
Huawei Россия (Хуавэй) (3)
Intact (Интакт) (3)
Другие (50)
ATITOKA (1)
Huawei (1)
Nokia Corporation (1)
X-Com (Икс ком) (1)
Гринатом (Greenatom) (1)
Другие (3)
Данные не найдены
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Cisco Systems (13, 33)
Huawei (12, 7)
ZTE Corporation (6, 3)
DEPO Computers (Депо Электроникс) (2, 3)
Инфинет (Infinet Wireless) (1, 3)
Другие (161, 14)
Huawei (1, 2)
Cisco Systems (1, 1)
Nokia Corporation (1, 1)
Инфинет (Infinet Wireless) (1, 1)
TP-Link (ТП-Линк) (1, 1)
Другие (0, 0)
Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
Cisco Catalyst Серия коммутаторов - 22
Cisco Nexus-серия коммутаторов - 5
Huawei AirEngine Wi-Fi 6 - 4
Cisco ASR 1000 - 4
InfiLINK 2x2 LITE - 3
Другие 33
Huawei AirEngine Wi-Fi 6 - 2
Nokia Digital Automation Cloud (DAC) - 1
Cisco Catalyst Серия коммутаторов - 1
InfiLINK 2x2 LITE - 1
TP-Link Archer серия беспроводных маршрутизаторов - 1
Другие 0