Jak to ktoś próbował włamać mi się do routera

Data: 2018-06-29, autor: Michał Misztal

Ktoś kiedyś powiedział, że niewiedza jest błogosławieństwem. Przypomniałem sobie o tym gdy dzień po zamontowaniu Mikrotika w firmie zerknąłem w log urządzenia. Mikrotik stanowi również bramę na świat dla rejestratora. Poprzednio rejestrator był wystawiony na świat w DMZ. Teraz w DMZ jest MikroTik a w nim przekierowane konkretne porty. Po części dlatego, że nie muszę dzwonić do operatora by przestawił byle pierdołę. Teraz sam to mogę zrobić.

Całe szczęście, że domyślnie puste hasło admina olałem i utworzyłem swoje dość trudne. Bo log prezentuje się tak

Ryc. 1. Łoj, ale czerwono

I to wszystko zaledwie dzień po zamontowaniu. Głównym celem jest oczywiście telnet (domyślnie włączony). Przyzwyczajony do ASUSów i TP-LINKów nie sądziłem, że będę musiał tracić czas na wyłączanie tegoż. OK, trudno, ktoś sobie poskanował porty ale przynajmniej nie wszedł do środka.

Kolejnym przypadkiem - już nie tak wesołym - jest rejestrator Notis (jeśli dobrze pamiętam nazwę), który ktoś klientowi zamontował. A, że ciągle coś się działo to klient zwrócił się o pomoc. Notis to rebrandowany Dahua. Innym przykładem rebrandowanej Dahuy to Raiden czy BCS - takie koszmarki. Oczywiście w każdym rejetratorze producent tworzy furtkę serwisową ale Dahua to mistrzostwo (gdzieś jest nawet kalkulator do generowania hasła admina - ale trzeba być przy maszynie). Sytuacja z Notisem jest o tyle nieciekawa, że producent, jakże by inaczej, porzucił wsparcie produktu i najnowszy firmware jest z roku 2015. Do tego dochodzi max 6 znaków dla hasła, brak możliwości zablokowania użytkownika admin i brak możliwości wywalenia użytkownika default. A tak wyglądał podgląd z kamer.

Ryc. 2. No hacked bąbki strzelił
Ryc. 3. I to wszystko w ciągu sekundy
Ryc. 4. Taki szczegół
Ryc. 5. A ustawienia sieci to gościu sobie tak zmienia
Ryc. 6. No i oczywiście tutaj nie mogło go zabraknąć

Czyli standardzik. Po zerknięciu do logów widać jak bot zalogował się i działał. Pierwsze co to wgrałem świeży firmware, zmieniłem hasła i skasowałem nadmiarowych użytkowników. Userowi admin odbrałem mozliwość logowania się przez sieć. Dla podglądu przez internet utworzyłem użytkownika z bardzo ograniczonymi uprawnieniami (ale w świecie CCTV wszystko zdarzyć się może). Rejestrator pozostał w DMZ. Po dwóch tygodniach to samo (logowanie via admin). Tym razem postanowiłem, że wyłączymy DMZ i przekierujemy jedynie potrzebne porty (w tym port 80). Po trzech tygodniach jest (jeszcze) spokój, ale sprawa jeszcze nie jest zakończona. Poczekamy, zobaczymy. Może następnym razem poproszę o logi ISP. Oby do tego nie doszło.

A tutaj film prezentujący luki typowego rejestratora Dahua

Ale wracamy do MikroTika. W poprzednim opisie (przy konfiguracji wifi) skonfigurowałem firewall tak by gubił (drop) pakiety. Jak się okazało nie jest to dobra metoda. Poniżej skonfigurowałem MikroTika tak by gubił pakiety dla portu 23, po skanowaniu nmapem widać, że port i tak jest widoczny. Jeśli w sieci istnieje serwer który udostępnia publiczne usługi to aż tak to nie przeszkadza a co jeśli chcielibyśmy zachować anonimowość?

Lepszym rozwiązaniem jest ustawienia firewalla w tryb reject with tcp reset, poniżej skonfigurowałem to dla telnetu.

A jak to wygląda w konsoli.

W przypadku gubienia pakietów będziemy oczekiwać na nawiązanie połączenia co jest typowe dla protokołu TCP. Protokół TCP można porównać do Świadków Jehowy pukających tak długo, aż ktoś im w końcu otworzy. Ale tutaj nie wracają do domów ze świeżo zwerbowanym wiernym tylko umierają na progu z głodu i wycieńczenia. Musiałem przerwać polecenie bo czekałem ponad minutę. Po przestawieniu firewalla na reject port 23 zniknął z listingu. A próba nawiązania sesji telnetu zostaje odrzucona.

Obecnie log już nie świeci się na czerwono. Dodatkowo telnet całkowicie wyłączyłem. I mam spokój.

Komentarze (2)

[2018-07-02 14:03:31] Wujek Pawel pisze: Rejestrator
A nie mozesz tego rejestratora schowac za jakims reverse proxy (nie musi stac u klienta w sieci) na jakims egzotycznym porcie? i/lub na Mikrotiku ustawic whiteliste IP? To, ze ci ISP da IP atakujacego da ci jedynie tyle, ze IP nalezy do kogos w Chinach/Rosji/Brazylii.
[2018-07-03 07:11:15] csk(admin) pisze: Re: Rejestrator
IP atakującego mam - jest w logach rejestratora - IP z Czech, ale to ściema. Raczej chodziło mi o sekwencję logowania do urządzenia (kto wie, może coś w stylu "?admin=yes", nieudokumentowana sekwencja via UDP?, port knocking gdzie atakujący zna sekwencję?). MikroTik i Notis to odrębne lokalizacje (może nie zaznaczyłem tego wystarczająco dobitnie). Z Mikrotikiem sytuacja opanowana. Z tym nieszczęsnym Notisem również. Jeżeli przez równy miesiąc będzie OK to włączę port 80.

Skomentuj lub zgłoś błąd

© Michał Misztal 2018

Czytasz właśnie

Jak to ktoś próbował włamać mi się do routera
Autor: Michał Misztal
Data: 2018-06-29

Podobne wpisy