Опасный MikroTik. Разбираемся в уязвимостях популярных роутеров

В роутерах, которые числились среди лучших и часто применяются в индустриальных целях, внезапно одна за другой обнаруживаются серьезные уязвимости. В этой статье мы рассмотрим последние серьезные дыры, поищем причины их возникновения и расскажем, как обезопасить себя.

Если заглянуть в базу CVE, то окажется, что в продуктах MikroTik за всю историю было найдено восемнадцать уязвимостей. Восемь из них приходятся на 2018 год и шесть — на 2017-й. Получается, что более 77% уязвимостей MikroTik обнаружены за два последних года.

Распределение выявленных уязвимостей MikroTik в процентном соотношении по годам

Может сложиться впечатление, что компания MikroTik существует сравнительно недавно. Но это не так. Фирма MikroTik на три года старше, чем сам проект CVE: она основана в 1996 году.

Немного о MikroTik

Если ты впервые слышишь о MikroTik, то знай: название этой компании не связано с нервными тиками. Впрочем, от количества настроек, которые предоставляет ее продукция, они все же поначалу случаются — в основном у пользователей, не имеющих специальной подготовки.

RouterOS во всей красе

MikroTik — это латвийский производитель сетевого оборудования. В компании разрабатывают как железо, называемое RouterBOARD, так и операционную систему для него — RouterOS. Обычно эти две составляющие просто называют MikroTik.

Эти продукты относятся к полупрофессиональному сегменту, который занимает нишу между домашними маршрутизаторами типа D-Link, TP-Link, Asus и профессиональным оборудованием типа Cisco и Juniper. В сравнении с домашними роутерами продукты MikroTik отличаются значительно большим числом функций.

RouterBOARD hAP AC lite — младший представитель продуктовой линейки. Но даже у него масса возможностей

С профессиональным оборудованием их сравнить по-прежнему непросто, но низкие цены делают роутеры MikroTik привлекательными для малого и среднего бизнеса и даже для некоторых крупных сетевых провайдеров. В последнее время роутеры MikroTik можно встретить и дома — в основном у тех, кто считает их настройку прекрасной возможностью, а не лишней головной болью (то есть у читателей «Хакера»).

Плюсы и минусы MikroTik

Поразительное количество возможностей — не единственное, что отличает продукцию MikroTik. Эти роутеры также славятся надежностью и стабильностью в работе. Как правило, хорошо настроенное и протестированное оборудование этого производителя работает долго, стабильно и бесперебойно (при отсутствии проблем с питанием). Также среди плюсов — наличие встроенного скриптового языка, который позволяет описывать, как роутер должен реагировать на возникновение проблем. А еще у MikroTik есть технология WatchDog, которая спасает при зависании маршрутизатора.

Добавь сюда удобную систему конфигурирования, общедоступную документацию в виде вики и периодические обновления RouterOS, которые можно ставить без всякой авторизации. Или вот еще важный момент: достаточно изучить RouterOS, и ты сможешь настроить роутер MikroTik из любого ценового сегмента и даже поставить его на сервер x86.

Минусы тоже есть, и именно из-за них MikroTik не конкурент Cisco и Juniper. Среди недостатков: отсутствие резервирования, трудности маршрутизации больших объемов трафика (более 10 Гбайт/с) и отсутствие шифрования по ГОСТ, которое важно для госструктур.

Также оборудование MikroTik не очень подходит в качестве многофункциональных устройств. Ты спросишь: а как же все разговоры про огромные возможности настройки? Да, функциональность MikroTik действительно очень широка, однако получить все и сразу в одном устройстве и обеспечить при этом стабильную работу выходит далеко не всегда.

Ну и конечно, не стоит забывать про трудоемкость настройки (если ты не сисадмин, то даже простые вещи придется делать по мануалам), отсутствие корпоративной поддержки и малое количество специалистов. Все это пока что мешает марке развиваться дальше своего нынешнего рынка. А теперь репутацию подпортили и уязвимости.

Уязвимости и взломы

Последнее время роутерам MikroTik пришлось поработать на износ: вдобавок к их основным функциям им приходилось майнить криптовалюту, становиться частью ботнетов, перехватывать трафик и заражать себе подобных. Всему виной — новые уязвимости, найденные в продукции MikroTik.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Комментарии (7)

  • Проблема у микротика была только одна - до какой-то прошивки 6.хх (не помню точно версию), в предустановленном фаерволе не было правила дропа трафика с внешнего порта. Вот уже года два, как по дефолту фаервол настроен корректно изначально и, чтобы заюзать большинство уязвимостей, надо, чтобы владелец роутера сам открыл доступ снаружи.

  • Начиналось хорошо, но всё слова слова. Где пруфы?!

  • В части про защиту не хватает инфы про хитрые правила файрволла(

  • Прочитав заголовок статьи, приготовился получить удовольствие. Но чем дальше читал, тем больше наступало недоумение - это точно статья для Хакер? Но окончательно добил раздел "Как себя обезопасить". Эти советы чем то отличаются, от советов для других роутеров? Вы же не "Домашний ПК"!!! Повышайте градус гиковости!

    • поддерживаю!
      Автору статьи спасибо за ссылки на уязвимости, но хотя бы коротенький TODO можно было составить. 5 секундное гугление выдает массу дельных статей на эту тему. Например:
      https://asp24.ru/mikrotik/zaschita-wan-interfeysa-v-mikrotik/

  • А с каких пор Микротик считался одним из лучщих?
    Они считались всегда одним из дешевых и никак иначе
    Их покупали только те кому было не по карману купить Циски и Джуниперы, или хотябы алкателы или че-то подобное

    • Сделайте одолжение себе и автору статьи — прочтите дальше первого абзаца, прежде чем ругаться.