Rohamtempóban foltozott a MikroTik

A MikroTik rekord gyorsasággal foltozott be egy veszélyes sérülékenységet a hálózati eszközeinek kapcsán. A hibára épülő támadások már elkezdődtek, ezért nem érdemes halogatni a frissítést.
 

Elsőként néhány cseh üzemeltető kezdett gyanakodni, hogy valami nincs rendben a MikroTik routerekkel. Amikor ugyanis a naplóállományokat vizsgálták, akkor azt látták, hogy két érvénytelen belépés után egyszer csak teljesen normálisnak látszó adminisztrátori hozzáférés történt a routereikhez. Majd, amikor kiderült, hogy mindegyik említett üzemeltető routerét ugyanazon (tajvani) IP-címről „keresték fel” illetéktelenek, akkor biztossá vált, hogy kibertámadásról van szó. Az esetre a MikroTik gyorsan reagált: egy napon belül feltárta, és egyben be is foltozta azt a biztonsági rést, amin keresztül a támadásokra sor került.
 
A gyártó szerint a biztonsági probléma a Winbox menedzsment eszköz által használt port kezelését illetően merült fel. A 8291-es port minden arra alkalmas MikroTik eszközön alapértelmezetten engedélyezett, és többek között ennek segítségével lehet konfigurálni a hálózati berendezéseket. Ez a hozzáférés a legtöbb esetben helyi hálózatokból engedélyezett, de nincs technikai akadálya, hogy az internet felől is elérhetővé váljon a menedzsment lehetőség. Ez pedig nyilván felkeltette a támadók érdeklődését, akik az alapértelmezett portok szkennelésével kezdték ostromolni a routereket.
 
A MikroTik közölte, hogy a biztonsági hiba speciális eszköz használatával lehetőséget adhat arra, hogy a Winbox porthoz való csatlakozást követően a rendszerfelhasználó adatbázisfájlja lekérdezhetővé váljon. Ezt követően a támadó dekódolhatja a megszerzett adatokat, majd adminisztrátorként bejelentkezhet a kiszemelt routerre, és azon tulajdonképpen bármit megtehet. (Az eddigi incidensek során elsősorban szolgáltatások leállításával okoztak fennakadásokat az elkövetők.)
 
Jó hír, hogy eddig "csak" egy IP-címről indultak támadások a sebezhető hálózati eszközök ellen, vagyis úgy fest, hogy egy magányos feketekalapos hacker vagy hackercsoport próbálkozott, sajnos nem is sikertelenül. Nyilván mindez nem jelenti azt, hogy a közeljövőben e támadásokra más kiberbűnözők ne alapozhatnának. Ezért a MikroTik által kiadott frissítések (RouterOS v6.42.1 vagy v6.43rc4) mielőbbi telepítése javasolt. A gyártó szerint a RouterOS v6.29-es verziójától kezdődően az összes változat sérülékeny, kivételt képeznek persze a már javított, legújabb kiadások.
 
Ne csak frissítsünk...
 
A MikroTik a sebezhetőséggel kapcsolatban közölte, hogy nemcsak a RouterOS legújabb verziójának telepítésére érdemes hangsúlyt helyezni, hanem az adminisztrátori jelszavak módosítását is célszerű elvégezni.
Mindezek mellett pedig a javasolt a Winbox alapértelmezett portszámának módosítása, illetve a router menedzsment funkcióihoz való hozzáférés korlátozása.