Yüzbinlerce güvenlik güncellemesi yapılmayan Mikrotik router'lar dünya genelinde bir çok saldırganın eline geçerek başta kripto para madenciliği, reklam hizmetleri, tünel oluşturma ve çeşitli dosya transferi hizmetleri için kullanılıyor. 

İlgili güvenlik açığı, bir uygulama ile cihazın winbox portu ile iletişime geçerek RouterOS kullanıcı veri tabanına ulaşması sonucu sebep olmaktadır. İlgili sorgu esnasında cihaz üzerinde herhangi bir şifre deneme hatası gözükmemektedir. İlgili sorgu sonrası şifrelerin açıkça gözükmesi sonrasında cihaza bağlanılabilmektedir. Sadece bağlanan cihazın uzak IP numarası yada MAC adresi log ekranında gözükmektedir. Eğer cihaza giriş ve çıkış kayıtları uzak bir cihaza loglanmıyorsa, cihaz kapanıp açıldığında bu bilgilerede erişilememektedir.

RouterOS versiyonu 6.42 ve altında olan tüm cihazlarda ilgili güvenlik açığı bulunmaktadır. Bu açık Nisan 2018 tarihinde tespit edilerek güncelleme dosyası yayınlanmıştır. Fakat halen yüzbinlerce Mikrotik yönlendiricilerinde güncelleme yapılmadığından dolayı güvenlik açığı devam etmektedir. 

Poyraz Network Mikrotik Türkiye Distribütörü olarak Türkiye'de kullanımda olan 15 Milyon IP adresini port bazlı tarama yaptırarak halen güvenlik güncelleştirmesi yapmayan cihazları tespit edip Mikrotik cihazı içinde kullanıcı bilgisine ulaşması halinde telefon ile arayarak bilgi vermektedir. Eğer Mikrotik cihazı içerisinde kullanıcı bilgisi yoksa uyarı metni bırakmaktadır. 

Şuana kadar 15 Milyon IP taraması tamamlayan Poyraz Network, içerisinde internet servis sağlayıcıları, kamu kurumları, özel sektör kuruluşları, oteller, hastaneler, yurtlar, şehirler arası ve şehir içi otobüs şirketleri ve son kullanıcılar olmak üzere toplamda 15.000 üzerinde Mikrotik cihazındaki açık hakkında ilgilileri uyarıp gerekli bilgiyi vermiş ve vermeye devam etmektedir.

Peki saldırılardan sizde etkilendiniz mi?

Öncelikle eğer daha önce tanımlamış olduğunuz şifreler ile cihazınıza giremiyorsanız yüksek ihtimalle başkaları tarafından değiştirilmiştir. Bazı saldırganlar standart olarak farklı şifreler tanımlamış olabiliyorlar. Aşağıda karşılaştığımız cihaz şifrelerini iletiyoruz. Sizde kontrol edebilirsiniz.

Saldırı alan cihazlar üzerinde yapmış olduğumuz kontrollerde sizlerin de kontrol etmeniz gereken başlıca düzenlemeleri sıralayacak olursak;

1- System -> Users sekmesi içerisinde bilginiz haricinde bir kullanıcı olup olmadığını kontrol edin.

2- IP-> DNS sekmesi içerisinde bulunan "Allow Remote Requests" özelliğinin bilginiz haricinde aktif olup olmadığını kontrol edin.

3-IP-> DNS sekmesi içerisinde bulunan Servers bölümünde DNS adreslerini kontrol edin.. 

4- IP-> DNS sekmesi içerisinde bulunan Static butonu içerisinde bilmediğiniz yönlendirmeler olup olmadığını kontrol edin.

5- IP-> Socks sekmesi içerisinde bulunan ayarların bilginiz haricinde aktif olup olmadığını kontrol edin.

6- IP-> Socks sekmesi içerisinde bulunan Access butonu içerisinde bilmediğiniz adres olup olmadığını kontrol edin.

7- IP-> Firewall sekmesinde Filter Rules, NAT, Mangle, Address Lists ve Layer 7 Protocols sekmelerinde bilmediğiniz bir kural olup olmadığını kontrol edin.

8- IP-> Web Proxy sekmesi içerisinde bulunan ayarların bilginiz haricinde aktif olup olmadığını kontrol edin. 

9- PPP bölümünde içerisinde Secret sekmesi içerisinde bilginiz haricinde olan kullanıcıları kontrol edin.

10- PPP bölümünde Interface sekmesi altında bulunan PPTP Server, SSTP Server, L2TP Server ve OVPN Server ayarlarının bilginiz haricinde aktif olup olmadığını kontrol edin.

11- Interfaces bölümünde EoIP Tunnel, IP Tunnel, GRE Tunnel sekmeleri içerisinde bilginiz haricinde kayıt girilip girilmediğini kontrol edin.

12- IP-> Services içerisinde bulunan portların bilginiz haricinde aktif edilip edilmediğini kontrol edin.

13- IP-> uPnP sekmesi içerisinde bilginiz haricinde aktif edilip edilmediğini ve ilgili ekranda bulunan interface bölümünde bilgiliniz haricinde aktif edilip edilmediğini kontrol edin.

14-  System-> Scheduler sekmesi içerisinde bilginiz haricinde zamanlayıcı girilip girilmediğini kontrol edin.

15- System-> Scripts sekmesi içerisinde bilginiz haricinde kayıt girilip girilmediğini kontrol edin.

16- Files içerisinde bilginiz haricinde eklenmiş bir dosyanın olup olmadığını kontrol edin.

17- Radius içerisinde bilginiz olmadan kayıt girilip girilmediğini kontrol edin. 

18- Tools-> Netwatch sekmesi içerisinde bilginiz haricinde kayıt girilip girilmediğini kontrol edin.

19-  IP-> Cloud sekmesi içerisinde ayarlar bilginiz haricinde aktif edilip edilmediğini kontrol edin.

Not: New Terminal ekranında export yazarak enter'a bazın ve tüm ayarları inceleyin.

Peki saldırılardan nasıl korunabilirim?

1- System-> Packages-> Check For Updates sekmesi içerisinde Channel: current seçimi yaptıktan sonra. Download&Install yapın ve cihazın yeniden başlamasını bekleyin.

2- System-> Users içerisinde bulunan tüm kullanıcıların şifrelerini eski şifreler dâhil benzersiz bir şifre oluşturun. 

3- IP-> Services içerisinde bulunan kullanmadığınız servisleri(telnet, ftp, ssh, www, api) pasif hale getirin. Kullandığınız servisler için onaylı IP adresleri oluşturun. Özellikle winbox portu için güvenli IP adresleri oluşturun.

İnternet Servis Sağlayıcılarına Özel

Öncelikle saldırının sadece dış kaynaklı değil iç kaynaklıda yapılabileceğini unutmayın. İlgili saldırı uygulaması ile AP (Verici) cihazlarına bağlanabilen herkesin bu cihaz şifrelerini ele geçirebileceğini sonrasında yönlendirmelerin açık olması halinde tüm ağ cihazlarınıza erişip bu cihazlarında şifrelerini ele geçirip cihaz ayarlarını değiştirebileceğini veya sıfırlayabileceğini aklınızdan çıkarmamanız gerekiyor.

1- Sadece dış IP adresi tanımlanmış router ya da müşteri cihazlarını güncelleyip diğerlerini 6.42 versiyonu altında bırakmamanız gerekmektedir. Ağ yapınızda bulunan tüm Mikrotik yönlendiricileri güncel versiyona çekmeniz gerekmektedir.

2- Router, AP ve Son kullanıcı cihazlarınızda IP-> Neighbor sekmesinde bulunan Discovery Settings butonu içerisinde Interface ayarını none yapın.

3- Özellikle Router cihazlarınızda şifre belirlerken içerisinde ascii karakterler bulundurun.

Kaynaklar;

Mikrotik resmi uyarı yazısı için : https://blog.mikrotik.com/security/winbox-vulnerability.html
Mikrotik router güvenlik tavsiyeleri için : https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router