Shrnutí VPNFilter útoku na Mikrotiky

Začalo to už před časem napadáním služby winbox jak jsem psal dříve. Nakonec se z toho vedleší cestou vyklubal problém, který postihoval nejen routery na bázi ROSu ale i další routery od firem jako Netgear, Linksys, TP-Link a NASky od QNAPu. Pokud tedy nějaký z těchto produktů máte, začal bych se zajímat jestli výrobce vydal opravený firmware. V samotném článku se budu zabývat dopady na Mikrotiky.

Před nějakou dobou jsem psal článek, který upozorňoval na děravou winbox službu v Mikroticích, nicméně se záhy ukázalo, že tato díra mimojiné sloužila jako indikátor k vkradení malware do systému a následné zneužívání napadéného zařízení v botnetu. Cisco má pod svými křídly skupinu nazvadnou Talos, která se zabývá analýzou takových útoků, na jejich webu je kompletní článek o tom co malware se zařízením dělá. Nákaza má 3 fáze které obstarají postupné napadení zařízení a zařazení do botnetu.

  1. fáze – Stáhne do zařízení program a zapíše jej do interní flash paměti (NVRAM) přes děravou službu. Zapíše se do cronu aby docházelo k jejímu spuštění po restartech zařízení. Slouží pro stahování dalších modulů, které už pak činí nějakou neplechu.
  2. fáze – komunikace s řidícím serverem odkud si bere commady co má výkonávat např. stáhnout nějaký další modul.
  3. fáze – výkonná, provádí příkazy z řídícího serveru.

Fáze 2 má v repertoáru možnost příkazu “kill” čímž se přepíše prvních 5000 byte zavadeče a tím brickne dané zařízení. Z dalších příkazů umí např. přesměrovat webovou administraci routeru na jiný web, nastavit místní proxy server, spustit packet sniffer. Komunikace s řídícím serverem umí běžet přes TOR či přes šifrované SSL spojení tak, že je obtížné zjistit odkud příkazy skutečně chodí. Spojení s command serverem se navazuje takto – stáhne se obrázek z Photobucket.com a toknowall.com (tato doména je již zajištěná a odstavená Americkou FBI) a z GPS EXIF informací si skládá IP adresu řídícího serveru, pokud obě předchozí varianty selžou tak router čeká na příchod konkrétního paketu ve kterém tato informace je. Tvůrce se tak pojistil že bude fungovat i v případě, že obě předchozí varianty nepůjdou. Pro podrobnější popis doporučuju si přečíst článek na root.cz nebo již zmíněný originální web Cisco Talos.

Mikrotik

Oprava je jednoduchá, stačí mít nainstalovanou poslední verzi RoS, která dle Mikrotiku obsahuje automatický tool/skript pro odstranění tohoto bordelu, prý se schovával na separátní partition která nebyla přes winbox vidět. Podle fóra byla zranitelnost opravena už v březnu 2017 s verzí 6.38.5 která řešila bezpečnostní díru ve webové službě MK viz changelog. V diskusích se objevily informace, že došlo k napadení routerů, které běžely na opravené verzi, zatím není možné z mého omezeného pohledu potvrdit ani vyvrátit. Od incidentu s napadením winbox služby jsem měl v IP>Services nastavené jen 2 IP adresy odkud se šlo na winbox dostat a webovou službu mám úplně zakázanou (disabled) už od počátku.

Štítky , , , , , .Záložka pro permanentní odkaz.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *