באַקפּאָרט וואַלנעראַביליטי אין RouterOS שטעלן הונדערטער פון טויזנטער פון דעוויסעס אין ריזיקירן

די פיייקייט צו רימאָוטלי דאַונגרייד דעוויסעס באזירט אויף RouterOS (Mikrotik) שטעלן הונדערטער פון טויזנטער פון נעץ דעוויסעס אין ריזיקירן. די וואַלנעראַביליטי איז פארבונדן מיט פאַרסאַמונג פון די דנס קאַש פון די Winbox פּראָטאָקאָל און אַלאַוז איר צו לאָדן אַוטדייטיד (מיט אַ פעליקייַט פּאַראָל באַשטעטיק) אָדער מאַדאַפייד פירמוואַרע אויף די מיטל.

וואַלנעראַביליטי פרטים

די ראָוטעראָס וואָקזאַל שטיצט די רעזאַלושאַן באַפֿעל פֿאַר דנס לוקאַפּ.

דעם בעטן איז כאַנדאַלד דורך אַ ביינערי גערופֿן רעסאָלווער. רעסאָלווער איז איינער פון פילע בינאַריעס וואָס פאַרבינדן צו די Winbox פּראָטאָקאָל פון RouterOS. אויף אַ הויך מדרגה, "מעסינדזשיז" געשיקט צו די ווינבאָקס פּאָרט קענען זיין ראַוטיד צו פאַרשידן בינאַריעס אין RouterOS באזירט אויף אַ מענגע-באזירט נאַמבערינג סכעמע.

דורך פעליקייַט, RouterOS האט די DNS סערווער שטריך פאַרקריפּלט.

אָבער, אפילו ווען די סערווער פֿונקציע איז פאַרקריפּלט, דער ראַוטער האלט זיין אייגענע דנס קאַש.

ווען מיר מאַכן אַ בקשה ניצן winbox_dns_request פֿאַר בייַשפּיל.com, דער ראַוטער וועט קאַש די רעזולטאַט.

זינט מיר קענען ספּעציפיצירן די דנס סערווער דורך וואָס די בעטן זאָל גיין, אַרייַן פאַלש אַדרעסעס איז נישטיק. פֿאַר בייַשפּיל, איר קענען קאַנפיגיער אַ דנס סערווער ימפּלאַמענטיישאַן פון פיליפוס קלאוסצו שטענדיק ריספּאַנד מיט אַ א רעקאָרד מיט די IP אַדרעס 192.168.88.250.

def dns_response(data):
    request = DNSRecord.parse(data)
    reply = DNSRecord(DNSHeader(
        id=request.header.id, qr=1, aa=1, ra=1), q=request.q)
    qname = request.q.qname
    qn = str(qname)
    reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250")))
    print("---- Reply:n", reply)
    return reply.pack()

איצט אויב איר זוכן פֿאַר example.com ניצן Winbox, איר קענען זען אַז די דנס קאַש פון די ראַוטער איז פּויזאַנד.

דאָך, פאַרסאַמונג example.com איז נישט זייער נוציק ווייַל די ראַוטער וועט נישט נוצן עס. אָבער, דער ראַוטער דאַרף אַקסעס upgrade.mikrotik.com, cloud.mikrotik.com, cloud2.mikrotik.com און download.mikrotik.com. און דאַנק צו אן אנדער טעות, עס איז מעגלעך צו פאַרגיפט זיי אַלע אין אַמאָל.

def dns_response(data):
    request = DNSRecord.parse(data)
    reply = DNSRecord(DNSHeader(
        id=request.header.id, qr=1, aa=1, ra=1), q=request.q)
    qname = request.q.qname
    qn = str(qname)
    reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250")))
    reply.add_answer(RR("upgrade.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("cloud.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("cloud2.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("download.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    print("---- Reply:n", reply)
    return reply.pack()

דער ראַוטער ריקוועס איין דערלויבעניש, און מיר געבן פינף צוריק. דער ראַוטער טוט נישט קאַש אַלע די רעספּאָנסעס ריכטיק.

דאָך, דעם באַפאַלן איז אויך נוציק אויב די ראַוטער אַקטינג ווי אַ דנס סערווער, ווייַל עס אַלאַוז די ראַוטער קלייאַנץ צו זיין קעגן.

דער באַפאַלן אויך אַלאַוז איר צו גווורע אַ מער ערנסט וואַלנעראַביליטי: דאַונגרייד אָדער באַקפּאָרט די ווערסיע פון ​​​​RouterOS. דער אַטאַקער ריקריייץ די לאָגיק פון די דערהייַנטיקן סערווער, אַרייַנגערעכנט די טשאַנגעלאָג, און פאָרסעס RouterOS צו זען די אַוטדייטיד (שפּירעוודיק) ווערסיע ווי קראַנט. די געפאַר דאָ ליגט אין דעם פאַקט אַז ווען די ווערסיע איז "דערהייַנטיקט", די אַדמיניסטראַטאָר פּאַראָל איז באַשטעטיק צו די פעליקייַט ווערט - אַ אַטאַקער קענען קלאָץ אין צו די סיסטעם מיט אַ ליידיק פּאַראָל!

די באַפאַלן איז גאַנץ ארבעטן, טראָץ דער פאַקט אַז מעכאַבער ימפּלאַמאַנץ עטלעכע מער וועקטאָרס, אַרייַנגערעכנט די שייַכות צו עמבעדינג אַ באַקדאָר אין די פירמוואַרע, אָבער דאָס איז שוין אַ יבעריק טעכניק און זייַן נוצן פֿאַר ילידזשיטאַמאַט צוועקן איז ומלעגאַל.

שוץ

סימפּלי דיסייבאַלינג ווינבאָקס אַלאַוז איר צו באַשיצן זיך פון די אנפאלן. טראָץ די קאַנוויניאַנס פון אַדמיניסטראַציע דורך ווינבאָקס, עס איז בעסער צו נוצן די SSH פּראָטאָקאָל.

מקור: www.habr.com