29.03.2018

Разрушаю панику вокруг безопасности Mikrotik RouterOS

В последнее время мы часто слышим о ботнетах, использующих RouterOS. И это даже хорошо, ведь говорит о том, что платформа настолько развилась, что представляет интерес для широкой аудитории, а соответственно и хакерам. А значит, что специалисты по Mikrotik будут в цене!

Но хватит лирики. Спешу развеять ваши опасения об опасности использования RouterOS. Ботнет Hajime заражает RouterOS. Отсюда и паника, поднятая в Интернете. Но, если прочитать чуть внимательнее, то заражает он версии RouterOS ниже 6.38.5 (или 6.37.5 в bugfix ветке). А значит, что если вы обновляли свою RouterOS хотя бы раз в течение последних 12 месяцев, то вы в безопасности!

Как работает Hajime:



1. Сканированием портов обнаруживаем RouterOS по открытому tcp 8291
2. Уязвимость в web сервере webfig'a, значит через tcp 80 заражаем его

Отсюда выводы:
ВЫ В БЕЗОПАСНОСТИ, если выполнили хотя бы одно действие из списка:

1. Обновлялись в последние 12 месяцев и версия RouterOS у вас 6.38.5 (6.37.5 для bugfix) или выше. Сейчас актуальная 6.41.3 (6.40.6 bugfix)

2. У вас отключен web сервер: ip - service - www

3. Настроен фаервол. А именно доступ к tcp 80 из недоверенных сетей

4. Отключен webfig. То есть на 80 порту работает веб-фронтенд для прокси, User Manager'a или хотспота

5. У вас переназначен порт WinBox'a на нестандартный (не 8291). В этом случае вы защищены только от сканирования, на www сервис все равно под ударом

6. У вас отключен сервис WinBox. В этом случае вы защищены только от сканирования, на www сервис все равно под ударом

7. В ip - service указаны IP адреса,  с которых можно подключаться к этим сервисам



Не забывайте, что заразиться можно не только из Интернета, но и из доверенной сети LAN, если кто-то внутри уже подхватил заразу.

Как видите, все беды опять идут от раздолбайства. Своевременно обновляйте ПО, настраивайте фаерволы, устанавливайте доверенные сети и не будете знать проблем. Оригинал материала на форуме


Как обезопасить свой Mikrotik мы подробно рассматриваем на курсе MTCNA. Приходите и узнайте как не попасться на удочку хакеров.