Новость
Помните прошлогодние утечки об уязвимостях в Cisco и Fotrinet (раз, два, три)? Тенденция сохраняется. 7 марта СМИ опубликовали информацию про очередные секретные данные о наработках спецслужб США в области сетевых технологий — Vault 7. Среди вендоров был и MikroTik. Представители MikroTik отработали достаточно оперативно. Они сами проанализировали эти документы и прокомментировали данные об уязвимостях. Заодно выпустив обновлённую версию (8 марта), закрывающую уязвимости.
Согласно представителям MikroTik, уязвимость в веб интерфейсе маршрутизаторов RouterOS (ROS). Подробностей уязвимости пока нет. Есть рекомендация: обновить версию (версия 6.38.5 или релиз-кандидат — версия 6.39rc49). Также сообщается, что по-умолчанию настройки RouterOS запрещают доступ к веб интерфейсу со стороны интернета (но он доступен из локальной сети). Другая рекомендация — ограничить доступ по спискам доступа — только тем IP-адресам, которым это действительно нужно. Некоторые железки (например, с архитектурой mipsle) более не поддерживаются. Поэтому не стоит ждать обновления, закрывающее уязвимость. Судя по сообщениям от представителей MikroTik, для эксплуатации уязвимости авторизация не требуется.
В changelog к обновлённым версиям — лаконичное:
fixed http server vulnerability
Моё ИМХО
Исходя из собственного опыта работы с RouterOS (как любитель, 4 года стажа + несколько лет опыта работы пентестером), озвучу пару мыслей. Что касается конфигурации по-умолчанию, которая закрывает доступ из интернета на веб-интерфейс. Тут есть нюанс. Если говорить о недавно купленных железках, или железках, обновлённых до определённых версий, на которых потом сделать сброс настроек до заводских — да, там всё неплохо: полноценные правила, которые закрывают доступ извне, оставляя только доступ из локальной сети. Но такое на практике попадается редко. Гораздо чаще встречаются 2 другие ситуации:
1. Не самая свежая версия RouterOS 6.x. В этом случае блокирование доступа извне интерпретировалось заводской настройкой исключительно как блокировка по интерфейсу ether1-gateway (первый сетевой порт, при отсчёте слева на право). При этом пользователи, провайдеры которых выдавали выделенный IP, например по PPP-соединению, попадали в нехорошую ситуацию: из интернета к ним можно было «достучаться». С некоторых пор конфигурация по-умолчанию помимо запрета входящего трафика по интерфейсу ether1-gateway, включает запрет входящего трафика по интерфейсам all ppp.
2. Изменение заводской настройки firewall. В этом случае обновление до последней версии RouterOS не добавит блокировку входящего трафика по интерфейсам all ppp. Я могу предположить, что это для сохранения конфигурации в том виде, в котором пользователь её создавал. Т.е. если пользователь вмешался в конфигурацию по-умолчанию и сам не удосужился добавить правила, которые запретят доступ извне — обновление за него делать это не будет.
Что касается доступа к железке только с разрешённых адресов — я на практике предпочитаю использовать реализацию port knoking. Есть различные её варианты реализации (раз, два, три). В своей реализации я ограничил время жизни таких записей (параметр address-list-timeout) — чтобы не захламлять список разрешённых адресов записями, потерявшими актуальность.
Комментарии (35)
GH0st3rs
10.03.2017 20:20-1В changelog к обновлённым версиям — лаконичное:
fixed http server vulnerability
Раскрытие такой уязвимости сильно ударит по их коммерческой составляющей, ибо МикроТик за ними не следят на этапе разработки.
k0ldbl00d
10.03.2017 20:43-2Зачем покупать Mikrotik и потом использовать дефолтную конфигурацию?
JerleShannara
11.03.2017 00:34+5Петя Ламерский хочет домой фифи, а поскольку его два последних роутера прожили по году (успев задолбать петю своими зависаниями), то он спрашивает у сисадмина Васи Сетевского «а что мне поставить, чтобы не сдохло», сисадмин советует микротик, радужно описывая, что та мелкая коробочка за 2тр умеет тоже, что и кошка за 150000р. Петя покупает, включает и офигевает от того «уёё, а как это настроить то, Ваааасяяяя» Вася говорит ему «Вон, как открылось — там квик сетуп есть, введи там от провайдера что дают и пароль для фифи». Петя вводит и понимает, что усё работает…
k0ldbl00d
11.03.2017 11:33Я не об этом говорил, на самом деле. Я говорил о людях, которые осознанно покупают Mikrotik, зная что делают. Но в вашей истории злодей — сисадмин Вася. Не надо советовать устройства такого типа Петям. Петям надо чтобы включил и работает. С тем же успехом можно посоветовать какой-нибудь Juniper SRX100.
inkvizitor68sl
11.03.2017 14:14+4Как будто в условном asus-шайтан-500-машина с безопасностью из коробки всё хорошо.
Микротики в линейке hAP AC повернулись лицом к клиенту и их _нужно_ советовать покупать всем домашним пользователям. И да, quick setup там теперь выполняет свою задачу, так что проблем с настройкой у среднего человека не возникнет.
altai2013
11.03.2017 14:22+2Не вижу ни одной причины, чтобы не советовать надежную, производительную и безопасную железку. Уже одного факта, что маршрутизатор гарантированно не виснет, достаточно для его рекомендации. Настраивать там нечего — большинство владельцев воткнёт ethernet-кабель от провайдера в порт 1 и больше им ничего делать не нужно, а если и понадобится что-то, то через веб-интерфейс он всё необходимое увидит прямо на главной странице настроек — в точности, как у дешевых Dlink, Tp-link, Asus.
Am0ralist
11.03.2017 16:22+3Более того — не виснет под нагрузками, а при этом стоит обычно еще и дешевле.
А уязвимостей в других фирмах находили тоже немерено.
JerleShannara
12.03.2017 21:39Вот я покупаю микротик, осознавая, что я делаю. И во многих случая мне реально не надо менять ничего, что выходит за страничку quick setup (ну разьве что докинуть пару правил в фаервол и сторожевой таймер поднастроить). Ибо тут я за 5 т.р. получаю гораздо более надёжную железку, чем теже яйца от фирм на буквы Л, Д, А, Н. Причём иногда получается даже дешевле.
Как пример — самый дешманский routerboard (rb751) у меня спокойно тянул два месяца организацию со 100+ машинами на 100мбит канале (пока не приехал RB1100)k0ldbl00d
12.03.2017 22:05Так я не спорю что MT делают клёвые железки. Я с RouterOS работаю еще со времён 2.x. Сейчас у меня около десятка разных приборов крутятся — от RB951 до CCR1036 — по соотношению цена/функциональность/качество конкурентов пока нет. Но имея RouterOS, использовать только функции quick setup это всё равно что микроскопом гвозди забивать.
korzunin
12.03.2017 22:46+2Ну пока на рынке, для забивания гвоздей, есть только детские пластиковые молоточки и микроскопы, при одинаковой цене, приходится выбирать микроскопы. А в ряде случаев микроскопы еще и дешевле выходят.
JerleShannara
13.03.2017 02:16+2Если железка А обеспечивает требуемый функционал, но порой глючит, а железка Б обеспечивает требуемый функционал и ещё кучу всего и при всем этом не глючит — что вы купите, если они стоят практически одинаково?
calg0n
13.03.2017 16:22Ну хз, я у кого не спрашивал сейчас все советуют микротик. Я не сетевик и не сисадминский гуру, до этого был зюхель кинетик, который ушёл родителям, а до этого тплинк, а до этого длинк… Сейчас использую RB951Ui-2HnD. Да, с наскоку его не настроить, функций не миллион, а миллиард, но quick setup поначалу всё решил и отлично работает с дефолтными настройками. Могу сказать что по стабильности работы и заявленной/ожидаемой производительности Микротик у меня на 1м месте, причём далеко от преследователей. Понятно что я использую лишь пару процентов функциональности этого роутера, но есть ли простая (ламерская) альтернатива в которой есть кнопка «сделать хорошо» и она будет работать 24/7?
dzikar
14.03.2017 15:48Перепрошить зависающий роутер нормальной прошивкой.
JerleShannara
14.03.2017 20:18Скажите, какую прошивку зашить в китайский блок питания. И ещё, какую прошивку зашить в DC/DC конвертер, который сделали с ошибками. Если что, это крупные косяки некоторых дешевых роутеров.
dzikar
15.03.2017 02:19Если только в таком плане. Бывают виснут по иным причинам. И это происходит чаще чем левые блоки питания и шумящий преобразователь.
shanker
15.03.2017 13:20+1Перепрошить зависающий роутер нормальной прошивкой.
Что имеется в виду под «нормальной прошивкой»? DD-WRT, OpenWRT? Ну, если много свободного времени — можно попробовать. Хотя не все роутеры поддерживают её. Не проще ли купить железку, которую не нужно перепрошивать, изучая мануалы и надеясь, что после перепрошивки железка не превратится в крипич?
calg0n
20.03.2017 11:38Вся эта эпопея с доведением убого девайса до ума всё равно заканчивается покупкой качественного роутера с нормальной родной прошивкой.
Am0ralist
11.03.2017 01:24+4потому что их продают в обычном магазине кому угодно?
Ugrum
11.03.2017 09:14Вы предлагаете продавать их только после прохождения идиотен-теста?
Загнётся такой вендор.Am0ralist
11.03.2017 14:19Вы предлагаете продавать их только после прохождения идиотен-теста?
Я просто констатировал, откуда берутся такие пользователи.
Причем новости про «очередной ботнет на роутерах» из-за того, что в куче железок тупо не сменен пароль по умолчанию, они никогда не обновлялись и вообще настройки по умолчанию не лучшая защита — показывают, что это общая проблема для всех вендоров.
А так да, было бы неплохо доверять оборудование после прохождения обучения и сдачи тестов (а особенно идиотен-тестов). Только, вдруг тогда интернет вымрет — неудобно как-то получится…Jump
12.03.2017 21:32Зря вы так. Кому нужны ваши тесты?
Если пользователя заботит безопасность — он сменит пароль.
Если же пользователь совершенно не против того что его пароль открыт — что в этом плохого.
Это точно так же как запирать квартиру на ключ.
Если я захочу я положу ключ от квартиры под коврик у двери. Что в этом плохого?
xooler
11.03.2017 10:51Затем, чтобы с чего-то начинать. Не все же родились со знанием всего и сразу. Хотя выражение «я купил микротик и снес заводскую настройку» теперь такое же модное, как «я не смотрю телевизор».
duzorg
11.03.2017 18:11Да проблем и без дефолтной конфигурации хватает. Множество людей настраивают оборудование по инструкциям из этих ваших интернетов… Чего уж говорить, даже на хабре в какой-то статье про микротик netmap назвали улучшенной версией dst-nat… И куча вопросов по этому netmap вечно возникает… И это, вроде как, сисадмины… Так что…
Busla
13.03.2017 11:22У микротика и официальная документация написана так себе: очень много наивных howto и довольно вольные формулировки.
skymal4ik
13.03.2017 11:03Некоторые оставляют веб-интерфейс доступным наружу, чтобы смотреть графики или конфигурить что-то.
Daar
11.03.2017 09:41Я сам обычно веб на микротике сразу убиваю, и сколько видел чужих настроек, в большинстве тоже вырублен. Это так, кто по дефолту все оставляет, но это проблема у многих вендоров есть. Особенно открытый WiFi :)
Merced
13.03.2017 11:03Странно наблюдать за двойными стандартами государств, которые ищут уязвимости что бы потом использовать, при этом нарушая свои же собственные законы.
oua
13.03.2017 11:04+1Думаю, не лишним будет отметить, что подобная уязвимость может эксплуатироваться даже если доступ к WebFig разрешен только с одного локального адреса. Например различные эксплоит-паки на которые каждый может напороться случайно в сети вполне могут содержать ссылки вида http://192.168.88.1/vulnerable_url (192.168.88.0/24 — дефолтная сеть в микротиках). Ваш браузер молча перейдет по ссылке и роутер будет скомпрометирован.
Я бы вообще не рекомендовал использовать веб-интерфейс нигде и никогда. Либо использовать на нестандартных адресах/портах либо с доступом только с адреса с которого никто не занимается веб-серфингом.
AcidVenom
VPN принципиально не рассматриваете?
shanker
У меня сложилась культура работы: port knoking + проброс порта на веб интерфейс через ssh (что-то вроде: ssh -L 80:127.0.0.1:80 user@routeros_IP)
Плюсы: динамический ACL — защищает от не прошенных коннектов. SSH шифрует траффик, в т.ч. авторизацию в веб интерфейс. SSH работает из коробки, нет нужны запариваться с настройкой VPN.
Но тут кому что нравится и кто какие плюсы\минусы для себя находит