В роутерах, которые числились среди лучших и часто применяются в индустриальных целях, внезапно одна за другой обнаруживаются серьезные уязвимости. В этой статье мы рассмотрим последние серьезные дыры, поищем причины их возникновения и расскажем, как обезопасить себя.

Если заглянуть в базу CVE, то окажется, что в продуктах MikroTik за всю историю было найдено восемнадцать уязвимостей. Восемь из них приходятся на 2018 год и шесть — на 2017-й. Получается, что более 77% уязвимостей MikroTik обнаружены за два последних года.

Распределение выявленных уязвимостей MikroTik в процентном соотношении по годам
Распределение выявленных уязвимостей MikroTik в процентном соотношении по годам

Может сложиться впечатление, что компания MikroTik существует сравнительно недавно. Но это не так. Фирма MikroTik на три года старше, чем сам проект CVE: она основана в 1996 году.

 

Немного о MikroTik

Если ты впервые слышишь о MikroTik, то знай: название этой компании не связано с нервными тиками. Впрочем, от количества настроек, которые предоставляет ее продукция, они все же поначалу случаются — в основном у пользователей, не имеющих специальной подготовки.

RouterOS во всей красе
RouterOS во всей красе

MikroTik — это латвийский производитель сетевого оборудования. В компании разрабатывают как железо, называемое RouterBOARD, так и операционную систему для него — RouterOS. Обычно эти две составляющие просто называют MikroTik.

Эти продукты относятся к полупрофессиональному сегменту, который занимает нишу между домашними маршрутизаторами типа D-Link, TP-Link, Asus и профессиональным оборудованием типа Cisco и Juniper. В сравнении с домашними роутерами продукты MikroTik отличаются значительно большим числом функций.

RouterBOARD hAP AC lite — младший представитель продуктовой линейки. Но даже у него масса возможностей
RouterBOARD hAP AC lite — младший представитель продуктовой линейки. Но даже у него масса возможностей

С профессиональным оборудованием их сравнить по-прежнему непросто, но низкие цены делают роутеры MikroTik привлекательными для малого и среднего бизнеса и даже для некоторых крупных сетевых провайдеров. В последнее время роутеры MikroTik можно встретить и дома — в основном у тех, кто считает их настройку прекрасной возможностью, а не лишней головной болью (то есть у читателей «Хакера»).

 

Плюсы и минусы MikroTik

Поразительное количество возможностей — не единственное, что отличает продукцию MikroTik. Эти роутеры также славятся надежностью и стабильностью в работе. Как правило, хорошо настроенное и протестированное оборудование этого производителя работает долго, стабильно и бесперебойно (при отсутствии проблем с питанием). Также среди плюсов — наличие встроенного скриптового языка, который позволяет описывать, как роутер должен реагировать на возникновение проблем. А еще у MikroTik есть технология WatchDog, которая спасает при зависании маршрутизатора.

Добавь сюда удобную систему конфигурирования, общедоступную документацию в виде вики и периодические обновления RouterOS, которые можно ставить без всякой авторизации. Или вот еще важный момент: достаточно изучить RouterOS, и ты сможешь настроить роутер MikroTik из любого ценового сегмента и даже поставить его на сервер x86.

Минусы тоже есть, и именно из-за них MikroTik не конкурент Cisco и Juniper. Среди недостатков: отсутствие резервирования, трудности маршрутизации больших объемов трафика (более 10 Гбайт/с) и отсутствие шифрования по ГОСТ, которое важно для госструктур.

Также оборудование MikroTik не очень подходит в качестве многофункциональных устройств. Ты спросишь: а как же все разговоры про огромные возможности настройки? Да, функциональность MikroTik действительно очень широка, однако получить все и сразу в одном устройстве и обеспечить при этом стабильную работу выходит далеко не всегда.

Ну и конечно, не стоит забывать про трудоемкость настройки (если ты не сисадмин, то даже простые вещи придется делать по мануалам), отсутствие корпоративной поддержки и малое количество специалистов. Все это пока что мешает марке развиваться дальше своего нынешнего рынка. А теперь репутацию подпортили и уязвимости.

 

Уязвимости и взломы

Последнее время роутерам MikroTik пришлось поработать на износ: вдобавок к их основным функциям им приходилось майнить криптовалюту, становиться частью ботнетов, перехватывать трафик и заражать себе подобных. Всему виной — новые уязвимости, найденные в продукции MikroTik.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


7 комментариев

  1. Аватар

    raptoriks

    11.12.2018 at 19:52

    А с каких пор Микротик считался одним из лучщих?
    Они считались всегда одним из дешевых и никак иначе
    Их покупали только те кому было не по карману купить Циски и Джуниперы, или хотябы алкателы или че-то подобное

    • Андрей Письменный

      Андрей Письменный

      12.12.2018 at 12:38

      Сделайте одолжение себе и автору статьи — прочтите дальше первого абзаца, прежде чем ругаться.

  2. Аватар

    t0sha

    14.12.2018 at 13:44

    Прочитав заголовок статьи, приготовился получить удовольствие. Но чем дальше читал, тем больше наступало недоумение — это точно статья для Хакер? Но окончательно добил раздел «Как себя обезопасить». Эти советы чем то отличаются, от советов для других роутеров? Вы же не «Домашний ПК»!!! Повышайте градус гиковости!

  3. Аватар

    crabovwik

    15.12.2018 at 00:27

    В части про защиту не хватает инфы про хитрые правила файрволла(

  4. Аватар

    K

    24.12.2018 at 15:24

    Начиналось хорошо, но всё слова слова. Где пруфы?!

  5. Аватар

    rajven

    31.03.2019 at 14:47

    Проблема у микротика была только одна — до какой-то прошивки 6.хх (не помню точно версию), в предустановленном фаерволе не было правила дропа трафика с внешнего порта. Вот уже года два, как по дефолту фаервол настроен корректно изначально и, чтобы заюзать большинство уязвимостей, надо, чтобы владелец роутера сам открыл доступ снаружи.

Оставить мнение

Check Also

На взломанных WordPress-сайтах работает прокси-сервис

Взломанные сайты на WordPress заражены вредоносном Linux.Ngioweb и используются коммерческ…