[RouterOS] 沒注意資安新聞就被攻陷的經驗


話說,案場因考慮工業路由器,大量使用 RouterOS ,在 2018/08 月初發布了相關資安新聞,沒注意,到了 09/12 先發現某案場展示網頁會發生 Timeout ,才發現被攻陷變肉雞了。

展示系統大量使用 HTML5 + SVG 來處理畫面,09/12 廠商訪談完,在大廳展示電視發現展示網頁顯示 script 逾時了,開始追蹤這問題,現場是一個雙向 512k 的 ADSL 專線,使用 RouterOS 的基地台,用 Winbox 登入檢查後,從 log 發現不對勁:

防火牆規則異動

防火牆規則異動

防火牆規則被改了?問過同事,沒人連過去。確定被入侵異動,一時之間不確定問題,先升級韌體,改回被異動的參數。

09/13 開始進行更進一步 log 檢視,原先 RouterOS 服務基本上都關閉,只保留 api-ssl / winbox ,原先想說 api-ssl 可能是原廠軟體的通道,但是從 log 看起來不是透過 winbox 軟體登入,查原廠說明:

https://wiki.mikrotik.com/wiki/Manual:API-SSL

靠腰,api-ssl 只有加密,但不認證,嚇了一跳,趕緊連線到各案場普查,由於不同 IT 設定,有些有開,有些沒開,發現有四成案件有被入侵的痕跡,但有些是沒開的,不見得是 api-ssl 問題而已,甚至有些案場被打開服務,使用其他服務登入。

趕緊 google 新聞,原來是 08/03 就有新聞發出,是透過原廠軟體漏洞入侵:

超過17萬台MikroTik路由器淪為駭客挖礦攻擊的跳板 https://www.ithome.com.tw/news/124977

所以展示網頁發生 script 逾時,是因為展示電腦在幫忙挖礦阿…

再找了幾篇文章

Mikrotik的Winbox的任意文檔訪問漏洞的PoC流出,漏洞公佈以後仍舊沒有引起網絡管理者足夠的重視 https://hk.saowen.com/a/8c1dd31786b20e8da4d39cd378ffd85552d89a8e7235b570e16aaace7e923090

近期RouterOS的几个漏洞说明 http://www.irouteros.com/?p=338

大概看出來,漏洞有很多,從 winbox 漏洞備份設定檔後,還可以透過公開金鑰反解出密碼,讓 RouterOS 可以被遠端登入… 解決的方案無他,就是升級韌體,已被入侵的連管理帳號都得改…

下面來看一些慘況吧~

這隻肉雞很慘,多方在上面交戰互相阻擋別人入侵,甚至時間伺服器都被改掉,偽裝舊的時間寫入的規則:

三方互相設定對方 IP 為阻擋清單

三方互相設定對方 IP 為阻擋清單

 

這就是幫人挖礦的嵌入網頁:

挖礦嵌入網頁

挖礦嵌入網頁

防火牆規則區除了 DNS 防禦被關閉 (紅框),也淪為駭客間互相阻擋的方案 (藍框)

DNS 防禦被關閉

DNS 防禦被關閉

IP Pool 也被改:

IP Pool 被新增

IP Pool 被新增

對應 IP Pool 的撥入規則也新增近來:

PPP 也被新增規則

PPP 也被新增規則

對應被加入的 VPN 帳號:

VPN 被新增帳號

VPN 被新增帳號

被加入的排程:

被加入排程

被加入排程

被加入 Script:

被加入 script

被加入 script

被加入 Layer 7 Protocol 規則:

被加入 Layer 7 Protocol

被加入 Layer 7 Protocol

還有 SOCKS 也被設定、加入 IP 等,甚至有些是底層被修改,在介面上完全找不到哪裡被改,當我改完規則後,居然被駭客改掉 admin 帳密,登不進去,只好換機,拿回來洗機重新設定。

看樣子 google 還要訂閱 RouterOS 資安相關訊息了…

對了,我們這幾台最早被入侵大概是在九月初,所以要是有看到新聞,其實還有救…

廣告
Categories: 工作點滴, 技術分享 | 標籤: | 發表留言

文章分頁導航

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: