По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Последние два года выдались для роутеров MikroTik нелегкими. Они подвергались сканированию, уводились в ботнеты, майнили крипту без ведома хозяев и почти всё это стало возможным благодаря всего одной уязвимости в сервисе www, а точнее – незащищённому открытому 80 порту. (Используется для настройки роутера через web интерфейс)
Мы беспокоимся о своих читателях, поэтому хотим ещё раз предупредить всех обладателей роутеров MikroTik о данной проблеме.
Впервые, информация о том, что в роутерах MikroTik присутствует критическая уязвимость, позволяющая злоумышленнику исполнить произвольный код в случае успешной эксплуатации, появилась на весьма специфичном ресурсе – WikiLeaks, в рамках серии публикаций об средствах, которыми пользуется ЦРУ для взлома электронных девайсов, под названием Vault 7. Эксплоит получил название Chimay Red, точно также называется одно бельгийское пиво, вкусное или нет - не знаем.
Итак, давайте знакомиться – Chimay Red, cheers, друзья!
Вот лишь некоторый список того, на что способен данный эксплойт:
Удаленно выполнить код, в командной строке роутера. Например, перезагрузить устройство без Вашего ведома;
Извлекать пользовательские логины и пароли;
На моделях роутеров с жидкокристаллическим экраном, можно вывести на него какое-нибудь сообщение;
Скрыть все логи устройства;
И даже - заставить роутер играть какую-нибудь монофоническую мелодию. Например, из Super Mario :)
Согласитесь, не очень приятно знать, что кто-то может заставить Ваш роутер "петь" Super Mario.
В общем, для тех, кто не хочет читать дальше сообщаем - MikroTik выпустил прошивки чтобы закрыть эту уязвимость, поэтому если версия RouterOS у Вас ниже 6.37.5 или 6.38.5, то срочно обновитесь!
А мы продолжаем. Благодаря уязвимости Chimay Red, позже стало возможным создание вредоносных инструментов для проведения ряда атак.
VPNfilter
Вредонос, который обнаружило подразделение кибербезопасности Cisco Talos. Помимо роутеров MikroTik, данный вредонос бил и по другим устройствам класса SOHO. Сначала было непонятно, как вредоносные файлы загружались на роутеры MikroTik, однако позже выяснилось, что всему виной может быть уязвимость в сервисе www.
Несмотря на то, что вредонос получил название VPNfilter, ничего общего с технологией VPN он не имеет.
Что умеет VPNfilter:
Подслушивать ваш трафик;
Внедрять вредоносный контент в трафик, проходящий через роутер, и, с помощью этого, устанавливать вредоносное ПО на подключенные устройства;
Тупо выводить роутер из строя;
Извлекать пользовательские пароли и другую чувствительную информацию;
Устанавливать соединения в анонимные сети TOR к командному серверу и делать роутер частью ботнет сети.
Как понять, что Ваше устройство инфицировано:
Ваш роутер устанавливает неидентифицированные соединения по управляющим портам ко внешним неизвестным ресурсам;
Проверить можно на вкладке IP → Firewall → Connections. Там не должно быть соединений от вашего роутера к публичным IP адресам по портам удаленного администрирования, о которых Вы не знаете.
Допустим, внешний адрес Вашего роутера – 91.191.191.91
На Вашем роутере появились следующие директории:
var/run/vpnfilterm
/var/run/vpnfilterw
var/run/torr
var/run/tord
Ваш роутер самопроизвольно отключается, перезагружается, появляются изменения конфигурации, которые Вы не вносили
Как защитить устройство от вредоноса или удалить его, если оно уже заражено:
Итак, если Вы давно не обновлялись и используете старую версию RouterOS, а также у вас открыт доступ по 80 порту из Интернета, то ваше устройство может быть заражено.
Перезагрузить устройство. Однако, данная мера может не помочь, т.к вредонос способен "пережить" перезагрузку. Так что надёжнее будет сделать сброс к заводским настройкам. Предварительно, сохраните конфигурацию устройства
Обновить версию RouterOS на выпущенную после марта 2017 года. Исправления появились в 6.38.5, 6.37.5. Рекомендуется установить последнюю актуальную версию и патчи для Вашего устройства
Сменить пароль, особенно на встроенных профилях (admin). По возможности, отключите устройство от публичной сети, выполняя данный шаг
Настроить Firewall для сервиса www (порт 80). Лучше всего будет запретить использование данного сервиса и обращения к порту 80 из Интернета. Однако, если это невозможно, то необходимо разрешить доступ только с доверенных адресов.
Данный вредонос поразил такое большое количество устройств и вызвал такой большой резонанс, что компания Symantec даже разработала специальный ресурс, позволяющий определить, заражён ли Ваш роутер VPN filter'ом. Инструмент может проверить Ваш роутер на наличие плагина ssler, который вредонос устанавливает на определенной стадии заражения:
Symantec
Просто перейдите по ссылке компьютера, находящегося за роутером, который Вы хотите проверить и нажмите Run VPNfilter Check.
Даже если проверка не выявит признаков заражения ssler, роутер всё равно может быть заражён другими модулями VPNfilter.
Ботнет
Немного иначе обстоят дела с другим "вредоносом", а точнее целым ботнетом - Hajime. Этот ботнет уже попадал в поле зрения исследователей, когда захватывал в свои ряды умные устройства (IoT), однако, в марте 2018 года, ботнет резко переключился на роутеры MikroTik. Это подтверждается тем, что ботнет начал сканировать рандомные подсети по 80 (www) и 8291 (WinBox) порту. Сканирование порта 8291, говорит от том, что оно направлено именно на оборудование MikroTik.
После успешной идентификации устройства, ботнет применял ряд эксплоитов, чтобы ввести его в свои ряды.
Дальше дело пока не заходило, ботнет Hajime пока не был замечен ни в массированных DDoS атаках, ни даже в рассылке спама. Есть даже предположение, что автор Hajime - это добрый хакер (white hat), который укрепляет безопасность систем. Исследователи Symantec нашли в заражённых устройствах зашифрованное сообщение именно такого содержания.
Так или иначе, ещё раз рекомендуем установить последние обновления для Ваших роутеров и регулярно следить, чтобы прошивка была актуальной.
Если Вы подозреваете, что Ваше устройство заражено или просто хотите это проверить, то предлагаем воспользоваться следующим способом.
В интернете есть множество открытых ресурсов, которые следят за вредоносной активностью в сети и ведут соответствующие записи.
Такие ресурсы как:
VirusTotal
AbusedIP
Spamhaus
IBM-X Threat
Cisco Talos
Помогут Вам определить, замечался ли Ваш публичный IP адрес во вредоносной активности.
Просто введите его в строку поиска на соответствующем ресурсе и посмотрите результат.
Данный способ актуален только если у вас статический IP адрес или, если он динамический, то Вы точно знаете когда он менялся.
Сразу перейду к делу. Пользователями FreePBX 14 замечен крайне серьёзный баг в утилите fail2ban.
Версия fail2ban, на которой замечен баг - 0.8.14-11 и ниже. Проверить можно командой rpm -qa | grep fail2ban:
fail2ban-fpbx-0.8.14-11.sng7.noarch
Данный баг заключается в том, что после установки чистой FreePBX Distro 14 сервис fail2ban хоть и в активном статусе, однако никаких “тюрем" (jails) он не подгружает и их количество = 0.
Проверить можно командой fail2ban-client status, если Ваш сервер подвержен багу, то Вы увидите:
[root@merionlab]# fail2ban-client status
Status
|- Number of jail: 0
`- Jail list:
Это значит, что например, максимальное число попыток ввода пароля для доступа к вэб-интерфейсу FreePBX или попыток регистрации SIP-клиента с неверным паролем - не ограничено, а IP-адрес, с которого приходят эти запросы не блокируется. Естественно, что модуль Intrusion Detection во FreePBX также не будет работать.
"Тюрьмы" или jails - это такие секции в файле /etc/fail2ban/jail.local, в которых указано, логи какого сервиса необходимо мониторить, чтобы выявлять и блокировать несанкционированные попытки доступа к этому сервису, а также такие параметры как время блокировки, максимальное число попыток и действие, которое необходимо предпринять в случае выявления.
Например, вот секция [asterisk-iptables]:
[asterisk-iptables]
enabled = true
filter = asterisk-security
action = iptables-allports[name=SIP, protocol=all]
sendmail[name=SIP, dest=none@yourpbx.com, sender=none@yourpbx.com]
logpath = /var/log/asterisk/fail2ban
maxretry = 5
bantime = 1800
В ней указано, что нужно мониторить лог /var/log/asterisk/fail2ban, искать в нём 5 попыток неуспешной регистрации (например SIP телефон пытается зарегистрироваться с неверным паролем) и банить IP-адрес на 30 минут. Ну и ещё можно отправку по email настроить о данном факте.
По умолчанию, в файле /etc/fail2ban/jail.local должно быть 7 таких секций - [apache-tcpwrapper], [recidive], [ssh-iptables], [apache-badbots], [pbx-gui], [asterisk-iptables], [vsftpd-iptables]. В каждой указан путь к логам соответствующего сервиса.
Решение
Итак, есть два решения данной проблемы. Первое – остановить сервис fail2ban командой systemctl stop fail2ban и внести следующие изменения в файл /usr/lib/systemd/system/fail2ban.service:
[Unit]
Description=Fail2Ban Service
After=httpd.service
[Service]
Type=forking
ExecStartPre=/bin/mkdir -p /var/run/fail2ban
ExecStart=/usr/bin/fail2ban-client -x start
ExecStop=/usr/bin/fail2ban-client stop
ExecReload=/usr/bin/fail2ban-client reload
PIDFile=/var/run/fail2ban/fail2ban.pid
Restart=always
[Install]
WantedBy=default.target
Затем запустить сервсис fail2ban командой systemctl start fail2ban и сделать так, чтобы сервис включался после ребута автоматически systemctl enable fail2ban.
И вторая – обновить сам fail2ban. Для этого вводим следующие команды:
yum install sangoma-devel
yum update
Проверяем версию fail2ban после обновления - rpm -qa | grep fail2ban:
fail2ban-fpbx-0.8.14-75.sng7.noarch
После данных действий, команда fail2ban-client status должна отобразить верное количество jails и fail2ban с Intrusion Detection должны вновь встать на стражу Вашего сервера:
[root@merionlab]# fail2ban-client status
Status
|- Number of jail: 7
`- Jail list: apache-tcpwrapper, recidive, ssh-iptables, apache-badbots, pbx-gui, asterisk-iptables, vsftpd-iptables
Чтобы случайно не заблокировать свой адрес и игнорировать любые неуспешные попытки доступа к серверу с адресов, находящихся в локальной сети или других доверенных адресов, внесите их или всю доверенную подсеть в секцию [DEFAULT] в поле ignoreip в том же файле /etc/fail2ban/jail.local
Edge computing (дословно можно перевести как "граничные вычисления") - это сетевая философия, основанная на том, что вычисления должны совершаться как можно ближе к источнику сырых данных. Цель сего действа в сильном сокращении задержек и ширины канала связи. Если говорить проще, то edge computing - это когда меньше всякой всячины вычисляется к облаке или ЦОДе, и больше вычисляется непосредственно на месте - то есть на локальном ПК, IoT устройстве или на граничном сервере. Таким образом сокращается необходимость поддерживать в требуемом состоянии дорогостоящие каналы связи (представьте себе, что для вычислений отправляете очень объемную информацию - к примеру, видео высокой четкости)
Что такое граница сети?
Для устройств, подключенных к сети Интернет, границей будет точка, где это устройства непосредственно подключается к Интернету. Конечно, определение экстремально размытое; к примеру, компьютер пользователя или процессор внутри IoT камеры могут быть теми самыми точками, однако, сетевой маршрутизатор также вполне попадает под это определение. Но важно одно: граница будет гораздо ближе к устройству (с географической точки зрения), нежели к облачным серверам.
Приведем пример edge computing-а
Представим себе некое здание, в котором понаставили десятки IoT камер очень высокого разрешения. Эти камеры относительно безмозглые, т.к они просто отдают сырой видеосигнал на облако. Облако, в свою очередь, пропускает весь этот сырой видео трафик через приложение, которое умеет определять движение, чтобы хранить только максимально полезную информацию. Представьте себе требованию к Интернет-каналу в таком случае: ежесекундно передаются мегабайты информации, и к тому же получается высокая нагрузка на облачные сервера, которые занимаются вычислениями - они обязаны обрабатывать все эти огромные объемы информации.
А теперь представьте себе, что сервер, определяющий движение был помещен на границу сети (той самой, в которой находится наше воображаемое здание). Что если каждая камера будет использовать свои собственные вычислительные мощности для запуска там приложения, которое будет определять движение? Очевидно, тогда в облако будет уходить только "полезный" трафик. Кроме того, на облачные сервера ляжет только задача по хранению важной информации, что де-факто означает возможность этого облака поддерживать связь с гораздо большим количеством камер без перегрузки. Вот примерно так и выглядит пример edge computing.
Преимущества концепции edge computing
Как видно в примере выше, данный концепт позволяет минимизировать загрузку Интернет-канала и нагрузку на вычислительные мощности облака. Полоса пропускания и вычислительные мощности, к сожалению, конечны и стоят реальных денег. С каждым зданием и офисом, которые будут оборудованы "умными" камерами, принтерами, термостатами и даже тостерами, аналитики предсказывают, что к 2025 году в мире будет установлено 75 миллиардов IoT устройств. Чтобы все эти устройства корректно работали, большой процент вычислений должен быть перенесен на edge-и.
Следующее преимущество - это снижение задержки. Каждый раз, когда устройство пытается подключиться к какому-нибудь удаленному серверу, появляется задержка. Гипертрофированный пример: когда двое коллег в одном офисе чатятся в аське, они могут почувствовать сильную задержку, так как каждое сообщение "улетает" во внешний мир, подключается к некому очень удаленному серверу и также возвращается обратно в эту сеть. Если бы весь этот процесс происходил на границе сети, то эта задержка могла бы быть значительно снижена.
Также, когда пользователи используют тонны веб-приложений, которые постоянно подключаются к внешним серверам, они могут чувствовать эти самые задержки. Длительность задержек будет зависеть от того, какова их полоса пропускания и где находятся сервера, но этих задержек можно легко избежать. Правильно, если воткнуть все эти сервера на границу этой сети.
Если подытожить, то общие плюсы этого концепта таковы:
Снижение задержек
Снижение затрат путем использования более дешевых каналов связи
Снижение затрат путем уменьшения нагрузки на удаленные вычислительные ресурсы
Минусы данного подхода
На мой взгляд, есть два основных минуса: первый - это сильное увеличение сложности устройств и повышенный риск компрометации этих устройств - по сути, даже банальный термостат становится полноценным компьютером, который, как мы все знаем, может быть легко подвергнут взлому. Кроме того, из-за увеличения сложности устройств и повышения их вычислительной мощности серьезно возрастает их стоимость. Однако очевидно, что технологии шагают семимильными шагами - компьютер 30 лет назад был в тысячи раз слабее современного смартфона, а стоили они гораздо дороже.