HOTLINE: 0903.209.123

z
Lỗ hổng dịch vụ WEB (RouterOS Mikrotik)
2018-12-19 13:15:12

Bài đăng này nêu lên những sự thật xung quanh lỗ hổng dịch vụ www trong RouterOS được Wikileaks xuất bản như một phần của bản phát hành tài liệu Vault 7. Lỗ hổng ảnh hưởng đến giao diện cấu hình webfig của RouterOS, nếu không có tường lửa nào được đặt để bảo vệ nó. MikroTik đã sửa lỗ hổng trong các bản phát hành RouterOS sau:

  • 6,37,5 trong kênh Bugfix
  • 6,38,5 trong kênh hiện tại

Cả hai đều được phát hành vào ngày 2017-Mar-09.

Lỗ hổng trong câu hỏi sau đó đã bị khai thác bởi một số công cụ độc hại và người dùng bị ảnh hưởng của RouterOS, những người không nâng cấp RouterOS trên các phiên bản đã đề cập và đã mở cổng dịch vụ www (cổng TCP 80) cho các mạng không tin cậy.

Bộ lọc VPN

MikroTik đã được nhóm nghiên cứu của Cisco Talos thông báo vào ngày 22 tháng 5 năm 2018, rằng một công cụ độc hại đã được tìm thấy trên một số thiết bị của nhà sản xuất, bao gồm cả các thiết bị do MikroTik sản xuất. Chúng tôi rất chắc chắn rằng phần mềm độc hại này đã được cài đặt trên các thiết bị này thông qua lỗ hổng được đề cập ở trên trong dịch vụ www.

Chỉ cần nâng cấp phần mềm RouterOS sẽ xóa phần mềm độc hại, bất kỳ tệp bên thứ 3 nào khác và đóng lỗ hổng. Nâng cấp RouterOS được thực hiện bằng một vài cú nhấp chuột và chỉ mất một phút. Để an toàn trước mọi loại tấn công trong tương lai, hãy đảm bảo bạn truy cập an toàn vào thiết bị của mình .

Nếu bạn đang chạy phiên bản RouterOS được phát hành trước tháng 3 năm 2017 (6.37.5 trong kênh Bugfix hoặc 6.38.5 trong kênh Hiện tại) và đã cho phép truy cập vào giao diện web của thiết bị từ internet, chúng tôi đề xuất các bước sau:

Nâng cấp RouterOS
Thay đổi mật khẩu của bạn
Bảo vệ thiết bị của bạn theo hướng dẫn chính thức của chúng tôi
Tên VPNfilter chỉ là tên mã của phần mềm độc hại đã được tìm thấy (cụ thể hơn là tên thực thi giả). Cách thức hoạt động của công cụ này không liên quan đến các đường hầm VPN.

Mạng botnet

Chúng tôi đã nhận thấy rằng một botnet lừa đảo hiện đang quét các địa chỉ IP công cộng ngẫu nhiên để tìm các cổng Winbox (8291) và WWW (80) mở, để khai thác lỗ hổng được mô tả ở trên. Vì tất cả các thiết bị RouterOS cung cấp các bản nâng cấp miễn phí chỉ bằng hai lần nhấp chuột, chúng tôi khuyên bạn nên nâng cấp thiết bị của mình bằng nút "Kiểm tra cập nhật", nếu bạn chưa thực hiện trong năm ngoái.

Thiết bị của bạn an toàn nếu cổng 80 được tường lửa hoặc nếu bạn đã nâng cấp lên v6.38.5 hoặc mới hơn. Nếu bạn đang sử dụng các thiết bị điểm truy cập nhà của chúng tôi với cấu hình mặc định, chúng được tường lửa từ nhà máy và bạn cũng nên an toàn, nhưng vui lòng nâng cấp không bao giờ ít hơn.

FAQ :

Điều gì bị ảnh hưởng?

- Webfig với cổng 80 tiêu chuẩn và không có quy tắc tường lửa
- Winbox không liên quan gì đến lỗ hổng, cổng Winbox chỉ được sử dụng bởi các máy quét để xác định các thiết bị thương hiệu MikroTik. Sau đó, nó tiến hành khai thác Webfig qua cổng 80.

Tôi có an toàn không?

- Nếu bạn đã nâng cấp bộ định tuyến của mình trong ~ 12 tháng qua, bạn sẽ an toàn
- Nếu bạn đã tắt "dịch vụ ip" "www": bạn an toàn
- Nếu bạn đã cấu hình tường lửa cho cổng "80": bạn an toàn
- Nếu bạn chỉ có Hotspot trong mạng LAN của bạn, nhưng Webfig không khả dụng: bạn an toàn.
- Nếu bạn chỉ có Trình quản lý người dùng trong mạng LAN, nhưng Webfig không khả dụng: bạn an toàn.
- Nếu bạn đã có cổng Winbox khác trước đó: bạn an toàn khi quét, nhưng không bị nhiễm trùng.
- Nếu bạn đã vô hiệu hóa "winbox", bạn sẽ an toàn khi quét, không bị nhiễm trùng.

- Nếu bạn đã đặt "dịch vụ ip" "được phép" từ mạng cụ thể: bạn sẽ an toàn nếu mạng đó không bị nhiễm.
- Nếu bạn có "Webfig" hiển thị với mạng LAN, bạn có thể bị nhiễm bởi một thiết bị bị nhiễm trong mạng LAN.

Làm thế nào để phát hiện và chữa lỗi?

- Nâng cấp lên v6.38.5 hoặc mới hơn sẽ loại bỏ các tệp xấu, ngăn chặn sự lây nhiễm và ngăn chặn mọi thứ tương tự trong tương lai.
- Nếu bạn nâng cấp thiết bị và bạn vẫn thấy các nỗ lực truy cập Telnet từ mạng của mình - hãy chạy Tool / Torch và tìm ra nguồn lưu lượng. Nó sẽ không phải là bộ định tuyến, mà là một thiết bị khác trong mạng cục bộ cũng bị ảnh hưởng và yêu cầu nâng cấp.

Tham khảo thêm các dòng sản phẩm chuyên dụng:

Theo blog.mikrotik