uczelnia.olsztyn.pl

uczelnia.olsztyn.pl

Głośne ataki „na DNS” z udziałem MikroTików: jak działały i jak się uchronić

Co było „głośne” i dlaczego

Badacze opisali operację, w której około 13 tysięcy przejętych urządzeń MikroTik działało jako rozproszona baza do nadużyć (m.in. dystrybucji złośliwych wiadomości). To daje atakującym dwie korzyści: rozproszenie źródła ruchu i większą „wiarygodność” (bo ruch wygląda, jakby pochodził z normalnych sieci użytkowników).

Równolegle kampanie wykorzystywały fakt, że wiele domen ma źle skonfigurowane SPF w DNS (rekord TXT używany przez pocztę). Gdy SPF jest ustawiony zbyt luźno, część filtrów antyspamowych łatwiej przepuszcza podszyte wiadomości „z domeny firmy”.

Jak działał mechanizm ataku

1) Router jako „pośrednik” do ukrycia sprawcy

Przestępca przejmuje router i wykorzystuje go jako przystanek, przez który przechodzą jego działania (np. wysyłka spamu). Na zewnątrz wygląda to tak, jakby to Twój router był źródłem ruchu, a nie komputer atakującego.

2) DNS domeny jako „przepustka” dla podszytych maili

Serwery pocztowe sprawdzają w DNS domeny m.in. rekord SPF: czy dany nadawca ma prawo wysyłać e-maile w imieniu tej domeny. Jeśli SPF jest skonfigurowany błędnie lub zbyt liberalnie, podszywanie się staje się dużo łatwiejsze — i to był jeden z kluczowych „dopalaczy” opisywanych kampanii.

Gdzie w tym wszystkim jest „atak na DNS MikroTika”

DNS na routerze (problem „otwartego resolvera”)

MikroTik może odpowiadać na zapytania DNS. Jeśli taka funkcja jest dostępna z internetu, router może zostać nadużyty jako otwarty resolver (np. do ataków typu DNS amplification, czyli „pompowania” ruchu w stronę ofiary). Społeczność MikroTika od lat zwraca uwagę, że włączenie obsługi DNS dla „zdalnych” zapytań wymaga bardzo ostrego ograniczenia dostępu tylko do własnych klientów/sieci.

Podatności DNS w starszych RouterOS

Dodatkowo MikroTik opisał podatność dotyczącą DNS cache poisoning w RouterOS 6.45.6 i niżej, możliwą do wykorzystania zdalnie (wektorem związanym z Winbox). Jeśli gdzieś działa stary sprzęt/wersja, to jest to realne ryzyko.

Jak się uchronić

Zabezpieczenia po stronie MikroTika

  • Aktualizacje: utrzymuj RouterOS i firmware na wspieranych, aktualnych wydaniach. To ogranicza ryzyko wykorzystania znanych podatności (w tym historycznych tematów wokół DNS).
  • Zarządzanie tylko z zaufanych miejsc: panel administracyjny i usługi zarządzania udostępniaj wyłącznie z LAN albo przez VPN; nie wystawiaj ich „dla całego internetu”.
  • DNS tylko dla swoich: jeśli router ma pomagać w DNS w Twojej sieci, dopilnuj, by nie odpowiadał na zapytania DNS od strony WAN i by dostęp był ograniczony do Twoich adresów/sieci (żeby nie stać się „otwartym resolverem”).
  • Wyłącz to, czego nie używasz: im mniej usług działa na routerze, tym mniejsza powierzchnia ataku (dotyczy szczególnie funkcji, które mogłyby pełnić rolę „pośrednika” dla cudzych działań).
  • Szybka kontrola zmian: okresowo sprawdzaj, czy nie pojawiły się nowe konta administracyjne, nieznane harmonogramy/skrypty, nietypowe przekierowania lub wyjątki w regułach zapory.

Zabezpieczenia po stronie domeny (DNS/poczta)

  • Uporządkuj SPF: SPF powinien jasno wskazywać tylko Twoje serwery/usługi pocztowe. Luźne, „wszystko wolno” ustawienia robią z domeny łatwy cel podszywania.
  • Włącz DKIM i DMARC: DKIM podpisuje wiadomości, a DMARC mówi odbiorcom co robić z podejrzanymi mailami i daje raporty o próbach podszywania. To realnie zmniejsza skuteczność phishingu „na Twoją domenę”.

Sygnały ostrzegawcze, że router mógł zostać wykorzystany

  • Nietypowo wysoki ruch wychodzący lub „dziwne” sesje na łączu.
  • Skargi od operatora, blokady lub wzrost odrzuceń poczty.
  • Zmiany konfiguracji, których nikt nie wprowadzał (nowe konta, nowe reguły, nowe usługi).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *