¬аш вопрос св€зан с хэштэгами # орпоративные сети, #Mikrotik? —просите в Telegram!

ћерион Ќетворкс

6 минут чтени€

ѕоследние два года выдались дл€ роутеров MikroTik нелегкими. ќни подвергались сканированию, уводились в ботнеты, майнили крипту без ведома хоз€ев и почти всЄ это стало возможным благодар€ всего одной у€звимости в сервисе www, а точнее Ц незащищЄнному открытому 80 порту. (»спользуетс€ дл€ настройки роутера через web интерфейс)

ћы беспокоимс€ о своих читател€х, поэтому хотим ещЄ раз предупредить всех обладателей роутеров MikroTik о данной проблеме.

¬первые, информаци€ о том, что в роутерах MikroTik присутствует критическа€ у€звимость, позвол€юща€ злоумышленнику исполнить произвольный код в случае успешной эксплуатации, по€вилась на весьма специфичном ресурсе Ц WikiLeaks, в рамках серии публикаций об средствах, которыми пользуетс€ ÷–” дл€ взлома электронных девайсов, под названием Vault 7. Ёксплоит получил название Chimay Red, точно также называетс€ одно бельгийское пиво, вкусное или нет - не знаем.

»так, давайте знакомитьс€ Ц Chimay Red, cheers, друзь€!

Chimay

¬от лишь некоторый список того, на что способен данный эксплойт:

  • ”даленно выполнить код, в командной строке роутера. Ќапример, перезагрузить устройство без ¬ашего ведома;
  • »звлекать пользовательские логины и пароли;
  • Ќа модел€х роутеров с жидкокристаллическим экраном, можно вывести на него какое-нибудь сообщение;
  • —крыть все логи устройства;
  • » даже - заставить роутер играть какую-нибудь монофоническую мелодию. Ќапример, из Super Mario :)

—огласитесь, не очень при€тно знать, что кто-то может заставить ¬аш роутер "петь" Super Mario.

¬ общем, дл€ тех, кто не хочет читать дальше сообщаем - MikroTik выпустил прошивки чтобы закрыть эту у€звимость, поэтому если верси€ RouterOS у ¬ас ниже 6.37.5 или 6.38.5, то срочно обновитесь!

ј мы продолжаем. Ѕлагодар€ у€звимости Chimay Red, позже стало возможным создание вредоносных инструментов дл€ проведени€ р€да атак.


VPNfilter

¬редонос, который обнаружило подразделение кибербезопасности Cisco Talos. ѕомимо роутеров MikroTik, данный вредонос бил и по другим устройствам класса SOHO. —начала было непон€тно, как вредоносные файлы загружались на роутеры MikroTik, однако позже вы€снилось, что всему виной может быть у€звимость в сервисе www.

Ќесмотр€ на то, что вредонос получил название VPNfilter, ничего общего с технологией VPN он не имеет.

„то умеет VPNfilter:

  • ѕодслушивать ваш трафик;
  • ¬недр€ть вредоносный контент в трафик, проход€щий через роутер, и, с помощью этого, устанавливать вредоносное ѕќ на подключенные устройства;
  • “упо выводить роутер из стро€;
  • »звлекать пользовательские пароли и другую чувствительную информацию;
  • ”станавливать соединени€ в анонимные сети TOR к командному серверу и делать роутер частью ботнет сети.

 ак пон€ть, что ¬аше устройство инфицировано:

  • ¬аш роутер устанавливает неидентифицированные соединени€ по управл€ющим портам ко внешним неизвестным ресурсам;

ѕроверить можно на вкладке IPFirewallConnections. “ам не должно быть соединений от вашего роутера к публичным IP адресам по портам удаленного администрировани€, о которых ¬ы не знаете.

ѕодозрительный коннект
ƒопустим, внешний адрес ¬ашего роутера Ц 91.191.191.91
  • Ќа ¬ашем роутере по€вились следующие директории:
    • var/run/vpnfilterm
    • /var/run/vpnfilterw
    • var/run/torr
    • var/run/tord
  • ¬аш роутер самопроизвольно отключаетс€, перезагружаетс€, по€вл€ютс€ изменени€ конфигурации, которые ¬ы не вносили

 ак защитить устройство от вредоноса или удалить его, если оно уже заражено:

    »так, если ¬ы давно не обновл€лись и используете старую версию RouterOS, а также у вас открыт доступ по 80 порту из »нтернета, то ваше устройство может быть заражено.

  • ѕерезагрузить устройство. ќднако, данна€ мера может не помочь, т.к вредонос способен "пережить" перезагрузку. “ак что надЄжнее будет сделать сброс к заводским настройкам. ѕредварительно, сохраните конфигурацию устройства
  • ќбновить версию RouterOS на выпущенную после марта 2017 года. »справлени€ по€вились в 6.38.5, 6.37.5. –екомендуетс€ установить последнюю актуальную версию и патчи дл€ ¬ашего устройства
  • —менить пароль, особенно на встроенных профил€х (admin). ѕо возможности, отключите устройство от публичной сети, выполн€€ данный шаг
  • Ќастроить Firewall дл€ сервиса www (порт 80). Ћучше всего будет запретить использование данного сервиса и обращени€ к порту 80 из »нтернета. ќднако, если это невозможно, то необходимо разрешить доступ только с доверенных адресов.

ƒанный вредонос поразил такое большое количество устройств и вызвал такой большой резонанс, что компани€ Symantec даже разработала специальный ресурс, позвол€ющий определить, заражЄн ли ¬аш роутер VPN filter'ом. »нструмент может проверить ¬аш роутер на наличие плагина ssler, который вредонос устанавливает на определенной стадии заражени€:

ѕросто перейдите по ссылке компьютера, наход€щегос€ за роутером, который ¬ы хотите проверить и нажмите Run VPNfilter Check.

VPNFilter Checker

ƒаже если проверка не вы€вит признаков заражени€ ssler, роутер всЄ равно может быть заражЄн другими модул€ми VPNfilter.


Ѕотнет

Ќемного иначе обсто€т дела с другим "вредоносом", а точнее целым ботнетом - Hajime. Ётот ботнет уже попадал в поле зрени€ исследователей, когда захватывал в свои р€ды умные устройства (IoT), однако, в марте 2018 года, ботнет резко переключилс€ на роутеры MikroTik. Ёто подтверждаетс€ тем, что ботнет начал сканировать рандомные подсети по 80 (www) и 8291 (WinBox) порту. —канирование порта 8291, говорит от том, что оно направлено именно на оборудование MikroTik.

ѕосле успешной идентификации устройства, ботнет примен€л р€д эксплоитов, чтобы ввести его в свои р€ды.

ƒальше дело пока не заходило, ботнет Hajime пока не был замечен ни в массированных DDoS атаках, ни даже в рассылке спама. ≈сть даже предположение, что автор Hajime - это добрый хакер (white hat), который укрепл€ет безопасность систем. »сследователи Symantec нашли в заражЄнных устройствах зашифрованное сообщение именно такого содержани€.

“ак или иначе, ещЄ раз рекомендуем установить последние обновлени€ дл€ ¬аших роутеров и регул€рно следить, чтобы прошивка была актуальной.

≈сли ¬ы подозреваете, что ¬аше устройство заражено или просто хотите это проверить, то предлагаем воспользоватьс€ следующим способом.

¬ интернете есть множество открытых ресурсов, которые след€т за вредоносной активностью в сети и ведут соответствующие записи.

“акие ресурсы как:

ѕомогут ¬ам определить, замечалс€ ли ¬аш публичный IP адрес во вредоносной активности.

ѕросто введите его в строку поиска на соответствующем ресурсе и посмотрите результат.

ѕример опасного адреса на AbusedIP
ƒанный способ актуален только если у вас статический IP адрес или, если он динамический, то ¬ы точно знаете когда он мен€лс€.

ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: