- PVSM.RU - https://www.pvsm.ru -

Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен

Сначала новость, потом мои рассуждения на эту тему.

Новость

Помните прошлогодние утечки об уязвимостях в Cisco и Fotrinet (раз [1], два [2], три [3])? Тенденция сохраняется. 7 марта СМИ опубликовали информацию про очередные секретные данные о наработках спецслужб США в области сетевых технологий — Vault 7 [4]. Среди вендоров был и MikroTik. Представители MikroTik отработали достаточно оперативно. Они сами проанализировали эти документы и прокомментировали данные об уязвимостях [5]. Заодно выпустив обновлённую версию (8 марта), закрывающую уязвимости.

Согласно представителям MikroTik, уязвимость в веб интерфейсе маршрутизаторов RouterOS (ROS). Подробностей уязвимости пока нет. Есть рекомендация: обновить версию (версия 6.38.5 или релиз-кандидат — версия 6.39rc49). Также сообщается, что по-умолчанию настройки RouterOS запрещают доступ к веб интерфейсу со стороны интернета (но он доступен из локальной сети). Другая рекомендация — ограничить доступ по спискам доступа — только тем IP-адресам, которым это действительно нужно. Некоторые железки (например, с архитектурой mipsle) более не поддерживаются [6]. Поэтому не стоит ждать обновления, закрывающее уязвимость. Судя по сообщениям от представителей MikroTik, для эксплуатации уязвимости авторизация не требуется [7].
В changelog [8] к обновлённым версиям — лаконичное:

fixed http server vulnerability

Моё ИМХО

Исходя из собственного опыта работы с RouterOS (как любитель, 4 года стажа + несколько лет опыта работы пентестером), озвучу пару мыслей. Что касается конфигурации по-умолчанию, которая закрывает доступ из интернета на веб-интерфейс. Тут есть нюанс. Если говорить о недавно купленных железках, или железках, обновлённых до определённых версий, на которых потом сделать сброс настроек до заводских — да, там всё неплохо: полноценные правила, которые закрывают доступ извне, оставляя только доступ из локальной сети. Но такое на практике попадается редко. Гораздо чаще встречаются 2 другие ситуации:
1. Не самая свежая версия RouterOS 6.x. В этом случае блокирование доступа извне интерпретировалось заводской настройкой исключительно как блокировка по интерфейсу ether1-gateway (первый сетевой порт, при отсчёте слева на право). При этом пользователи, провайдеры которых выдавали выделенный IP, например по PPP-соединению, попадали в нехорошую ситуацию: из интернета к ним можно было «достучаться». С некоторых пор конфигурация по-умолчанию помимо запрета входящего трафика по интерфейсу ether1-gateway, включает запрет входящего трафика по интерфейсам all ppp.
2. Изменение заводской настройки firewall. В этом случае обновление до последней версии RouterOS не добавит блокировку входящего трафика по интерфейсам all ppp. Я могу предположить, что это для сохранения конфигурации в том виде, в котором пользователь её создавал. Т.е. если пользователь вмешался в конфигурацию по-умолчанию и сам не удосужился добавить правила, которые запретят доступ извне — обновление за него делать это не будет.

Что касается доступа к железке только с разрешённых адресов — я на практике предпочитаю использовать реализацию port knoking. Есть различные её варианты реализации (раз [9], два [10], три [11]). В своей реализации я ограничил время жизни таких записей (параметр address-list-timeout) — чтобы не захламлять список разрешённых адресов записями, потерявшими актуальность.

Автор: shanker

Источник [12]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/248849

Ссылки в тексте:

[1] раз: https://habrahabr.ru/company/eset/blog/307948/

[2] два: https://habrahabr.ru/company/eset/blog/308074/

[3] три: https://habrahabr.ru/company/pt/blog/308064/

[4] Vault 7: https://ru.wikipedia.org/wiki/Vault_7

[5] проанализировали эти документы и прокомментировали данные об уязвимостях: https://forum.mikrotik.com/viewtopic.php?f=21&t=119308&p=587512#p587512

[6] более не поддерживаются: https://forum.mikrotik.com/viewtopic.php?f=21&t=119308&p=587512#p588022

[7] для эксплуатации уязвимости авторизация не требуется: https://forum.mikrotik.com/viewtopic.php?f=21&t=119308&p=587512#p587716

[8] changelog: https://mikrotik.com/download/changelogs

[9] раз: https://wiki.mikrotik.com/wiki/Port_Knocking

[10] два: https://geektimes.ru/post/186488/

[11] три: https://litl-admin.ru/zhelezo/mikrotik-port-knocking-poshagovaya-instrukciya.html

[12] Источник: https://habrahabr.ru/post/323658/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best