MikroTik Nightmare. Пентестим сетевое оборудование MikroTik

Содержание статьи

• Проблемы сетевой безопасности
• DAI
• RA Guard
• Абьюз DP
• Спуфинг в системе резервирования VRRPv3
• Перечисление информации
• Инъекция
• GARP-кадр
• Уклонение от трассировки
• Проблема асимметричной маршрутизации
• Маршрутизация
• Импакт
• RouterOS Traffic Hijacking
• GreenDog — Easy Hack #196 (Caster Bootleg)
• TZSP
• Угон трафика
• Обработка TZSP-заголовков
• RouterOS Pivoting
• L3 GRE VPN
• L2 EoIP VPN
• Выводы

Это автор­ское иссле­дова­ние о безопас­ности обо­рудо­вания MikroTik с точ­ки зре­ния ата­кующе­го. Обо­рудо­вание MikroTik край­не популяр­но и неред­ко ста­новит­ся жер­твой раз­ных атак. Я сде­лаю акцент на пос­тэкс­плу­ата­ции. Так­же зат­рону проб­лему безопас­ности защит­ных механиз­мов RouterOS, недос­татка­ми которых поль­зуют­ся ата­кующие.

warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

Проблемы сетевой безопасности

У RouterOS есть нес­коль­ко проб­лем сетевой безопас­ности. Давай пос­мотрим, на какие из них сто­ит обра­тить вни­мание в пер­вую оче­редь.

DAI

RouterOS не в сос­тоянии защитить сеть от ARP Spoofing за исклю­чени­ем исполь­зования режима reply-only в кон­фигура­ции bridge. По фак­ту этот режим работы пред­став­ляет собой ста­тичес­кую ARP-таб­лицу, которую в кор­поратив­ных сетях вес­ти нерен­табель­но, так как при появ­лении каж­дого нового хос­та при­дет­ся заходить на устрой­ство и заносить MAC и IP вруч­ную. Спо­соб дей­ствен­ный, одна­ко малоп­ривле­катель­ный из‑за боль­ших неудобств. Поэто­му, встре­тив обо­рудо­вание MikroTik, ата­кующий в боль­шинс­тве слу­чаев может не отка­зывать себе в ARP-спу­фин­ге: ему не сто­ит ожи­дать вне­зап­ной тре­воги ARP Inspection, ведь это­го механиз­ма в RouterOS, по сути, нет.

RA Guard

RA Guard пред­став­ляет собой фун­кцию безопас­ности, которая отсе­кает несан­кци­они­рован­ные router advertisements внут­ри сети с целью пре­дот­вра­щения MITM-атак. RA Guard пол­ностью отсутс­тву­ет в RouterOS и Switch OS, обо­рудо­ванию абсо­лют­но нечем отве­тить на популяр­ный инс­тру­мент пен­тесте­ров — mitm6. Единс­твен­ный вари­ант, который оста­ется, — филь­тро­вать на уров­не брид­жа по MAC-адре­сам наз­начения.

По­чему у девай­сов MikroTik нет таких важ­ных фун­кций безопас­ности — непонят­но. Такое ощу­щение, что их ПО зас­тря­ло в девянос­тых.

Абьюз DP

RouterOS по умол­чанию выпол­няет рас­сылку Discovery-про­токо­лов, которые могут рас­крыть чувс­тви­тель­ную информа­цию о себе потен­циаль­ному ата­кующе­му. В RouterOS активны три Discovery-про­токо­ла:

• CDP (Cisco Discovery Protocol);
• LLDP (Link Layer Discovery Protocol);
• MNDP (MikroTik Neighbor Discovery Protocol).

Ата­кующий может получить чувс­тви­тель­ную информа­цию в виде вер­сии про­шив­ки, адре­сации, име­ни устрой­ства, номера модели обо­рудо­вания MikroTik. Век­тор край­не спе­цифи­чес­кий, одна­ко все же может при­менять­ся.

При­мер зах­вачен­ного MNDP-тра­фика 

Спуфинг в системе резервирования VRRPv3

VRRP (Virtual Router Redundancy Protocol) — это про­токол резер­вирова­ния мар­шру­тиза­торов на уров­не L3, в его осно­ве лежит прин­цип соз­дания вир­туаль­ного мар­шру­тиза­тора за счет объ­еди­нения физичес­ких мар­шру­тиза­торов в одну логичес­кую груп­пу. Затем соз­данно­му вир­туаль­ному роуте­ру прис­ваивает­ся IP-адрес, который, в свою оче­редь, наз­нача­ется как шлюз по умол­чанию для конеч­ных стан­ций.

По сво­ему опы­ту ска­жу, что в RouterOS в боль­шинс­тве слу­чаев исполь­зует­ся кон­фигура­ция VRRPv3 по умол­чанию, адми­нис­тра­торы в основном нас­тра­ивают толь­ко при­ори­тет и номер груп­пы, а вер­сию и аутен­тифика­цию обыч­но не зат­рагива­ют. Это и откры­вает дорогу для экс­плу­ата­ции со сто­роны ата­кующе­го.

Ни­же — при­мер такой кон­фигура­ции по умол­чанию.

Кон­фигура­ция VRRPv3 по умол­чанию

Спу­финг MASTER-роли в VRRP при­водит к MITM-ата­ке в отно­шении целой под­сети, что может быть очень кри­тич­но во вре­мя пен­теста. Ста­новит­ся воз­можным перех­ват чувс­тви­тель­ных дан­ных, ата­ка Evil Twin, даже Relay-ата­ки про­тив сетей Windows.

Перечисление информации

Преж­де чем исполь­зовать дру­гие тех­ники, нуж­но про­вес­ти перечис­ление информа­ции о домене VRRP. Нуж­ны дан­ные об исполь­зуемом вир­туаль­ном адре­се, наличии аутен­тифика­ции, номере груп­пы VRRP и зна­чении при­ори­тета.

Источник: xakep.ru