Другое

Взлом Микротик: самые серьезные уязвимости и способы их проверки

Lorem ipsum dolor

Прошло немного времени с тех пор, как прокатился пик взлома роутеров MikroTik, который обнажил очевидные уязвимости. Пик прошел, но проблема осталась. Да, компания Микротик «зашила» дыры в своем оборудовании, исправив возможности взлома. Но то тут, то там обнаруживаются новые случаи. Из этого следует одно: где-то кто-то использует старое оборудование, которое не обновлялось.

Для тех, кто не знаком с компанией MikroTik, — это латвийская компания, производящая сетевое оборудование. Помимо самого оборудования компания поставляет его вместе с собственной встроенной операционной системой. Оборудование — RouterBoard, операционная система к нему — RouterOS. Но все в совокупности в народе принято называть в честь самой компании — MikroTik.

Эти роутеры занимают средний сегмент. Это и не профессиональное, но уже и не домашнее оборудование. От домашнего они отличаются более большей функциональностью, но до мощного профессионального оборудования им еще далеко. Поэтому их клиенты — это в основном представители малого и среднего бизнеса.

В целом качество оборудования Микротик держится на высоком уровне. Однако Интернет не без «добрых» пользователей. Нашлись люди, которые обнаружили уязвимости продуктов MikroTik, и именно они инициировали пик массовых взломов роутеров. Популярными способами, которыми характеризуется взлом MikroTik, являются:

  • прописывание Socks-прокси;
  • установка чужого script’а для майнинга криптовалюты;
  • установка правил в Файрвол;
  • установка различных скриптов, влияющих на работу и безопасность использования оборудования;
  • кража ваших логинов и паролей;
  • перезагрузка вашего устройства;
  • вывод на его экран (если он есть) какого-нибудь сообщения;
  • способность заставить ваш роутер заиграть простую мелодию;
  • и др.

Взлом MikroTik, на что обратить внимание

Как мы описали выше, есть несколько более-менее популярных моделей поведения, характеризующих взлом Микротик. Ниже мы приведем список самых распространенныхи объясним, на что следует обращать внимание, чтобы понять и оградить себя от хакерской атаки через уязвимости оборудования MikroTik.

Socks-прокси

При первоначальном монтаже и настройке оборудования на вашем «модеме» Socks-прокси должны быть отключены. Поэтому имеет смысл проследить за их состоянием сейчас. Если они включены, а вы этого не делали, значит, скорее всего, вы подверглись взлому. Чтобы отключить proxy и socks, у вас должно быть прописано следующее:

/ip proxy set enabled=no

/ip socks set enabled=no

 

После того, как вы все это сделали, зайдите в Меню и проверьте, есть ли у вас следующий файлик: webproxy/error.html . Это не файл, где выводятся ошибки, как может сразу показаться. Это script, который может вызвать криптовалютный майнер. Посмотреть активен ли он можно здесь:

/ip proxy access print

/ip socks access print

 

Наличие лишних скриптов

Как правило, любое оборудование MikroTik, к которому был применен взлом, может содержать сторонние скрипты. Они находятся в папке /system/script. В целом наличие сторонних скриптов неопасно. Суть их работы заключается в другом — они вызывают или «закачивают» другие скрипты, которые, в свою очередь, могут выполняться и приносить вред. Поэтому их можно удалить.

VPN

Есть два протокола, которые применяются при создании туннеля:

  • pptp;
  • l2pt.

Поэтому в первую очередь проверьте раздел /ррр secret, там может быть обнаружен профиль для подключения. Если там пусто — то уже хорошо. Тогда нужно проверить еще /radius, потому что в принципе для авторизации не всегда может применяться связка Login/Password.

Поэтому перейдите в терминал роутера и попробуйте там вписать: /radius print. Если и тут пусто, тогда с VPN все в порядке. Если тут не пусто, тогда нужно все почистить следующей командой:

/radius remove numbers=[/radius find ]

/ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no

/user aaa set use-radius=no

Возможно, вы вообще не используете VPN. Тогда его можно просто отключить, чтобы обезопасить себя от взлома своего оборудования Микротик. Чтобы отключить, нужно прописать следующее:

/interface l2tp-server server set enabled=no

/interface pptp-server server set enabled=no

/interface sstp-server server set enabled=no

 

Статические DNS

Допустим, вас не атаковали для майнинга, но вы могли подвергнуться атаке для фишинга. Проверить это можно, если просмотреть статические DNS. Чтобы это сделать, введите:

/ip dns static

 

Вам откроется таблица с записями DNS. Если вы видите что-то, похожее на:

  • daggerhashimoto.in.nicehash.com
  • daggerhashimoto.hk.nicehash.com
  • daggerhashimoto.jp.nicehash.com

В общем, если увидите то, что сильно отличается от остальных записей, то просто удалите содержимое таблицы. И не забудьте поменять пароль, потому что, возможно, при подмене записей DNS ваши данные уже «ушли» на сервера злоумышленника.

Это, конечно, не все уязвимости оборудования MikroTik, потому что технология взлома тоже совершенствуется. Но чтобы избежать таких инцидентов, возьмите себе за правило своевременно применять обновления от Микротик. Как правило, они сами выпускают прошивки своей ОС, которые вовремя устраняют уязвимости. Если все делать вовремя, то взлом вашего MikroTik будет невозможен.

Схожие статьи

Карринг [removed] обзор продвинутой техники работы с функциями JS
Другое

Карринг [removed] обзор продвинутой техники работы с функциями JS

Разработка UWP приложений с помощью Visual Studio и языка C
Другое

Разработка UWP приложений с помощью Visual Studio и языка C

Как стать тестировщиком с нуля и где пройти обучение тестировщика
Другое

Как стать тестировщиком с нуля и где пройти обучение тестировщика

Как проходит собеседование в Яндекс: что спрашивают, как пройти?
Другое

Как проходит собеседование в Яндекс: что спрашивают, как пройти?