Just another уязвимости в маршрутизаторах MikroTik и TP-Link

0

1

http://www.opennet.ru/opennews/art.shtml?num=49408

Ъ:

В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлено несколько уязвимостей. Самая опасная из проблем потенциально позволяет получить полный доступ к системе, при наличии аутентифицированного доступа.

Также сообщается о выявлении двух уязвимостей в маршрутизаторах TP-Link TL-WR841N (v13) и TL-WR840N (v5), которые позволяют неаутентифицированному атакующему получить полный контроль за устройством.

Да, ребята, давайте ещё раз высмеем всех доморощенных админов локалхоста, которые держат x86-сервак на Linux / FreeBSD под кроватью. Посмеёмся над их непрофессионализмом, о том, что в их системах можно найти куда больше уязвимостей, ведь кто они такие? Васяны! По сравнению с гигантами MikroTik и TP-Link. И побежим покупать очередной новый Asus Gamers Edishon 5GHz Wi-Fi, втыкать в него кабель с инторнетом с белым IP и хвастаться в галерее ЛОРа о «крутизне» оборудования. Да!

Извините, бомбануло. Теперь всех кто скажет что-то против «админов локалхоста» буду как котят тыкать в этот тред.

В догонку. Сам покупал MikroTik, это действительно очень хорошие маршрутизаторы, но я сразу оговорился что покупались они только ради раздачи Wi-Fi, тобишь хостятся они за NAT'ом. Кстати давайте умники пользуясь случаем, напомните, что NAT != Firewall. Уже обсудили.

Роутер в любом случае нужен, потому как нормально заставить работать Wi-Fi адаптер на линуксе это целый крестовый поход, при том что выжать его честные 802.11n так и не получится в итоге. Роутер «must have», но только для Wi-Fi, и только за NAT.

Алсо беспроводные технологии априори говно. Запомните это, ребята.

Ссылка

←	TeamViewer в дауне по всему миру

Регионалы не переживут отмены роуминга

→

Бггг, ну допустим на v13 выйдет патч.
Вот на v7 ~12года обновление прошивки вышло год назад.

Deleted
(09.10.18 10:24:44 MSK)

Ответ на: комментарий от Deleted 09.10.18 10:24:44 MSK

TL-WR841N(RU)_V13_180330
Дата публикации: 2018-05-21

Deleted
(09.10.18 10:26:09 MSK)

Ссылка

Спуф, ну хрен знает. Всё во время и деньги упирается.
Вот тебе аналоговнет х86: https://youtu.be/njyRy-gkTHk

Осилишь такое? Но оно уже от рождения горячая штучка, 75С в простое бггг

Deleted
(09.10.18 10:28:47 MSK)
Последнее исправление: RTP 09.10.18 10:30:08 MSK (всего исправлений: 1)

Ссылка

Самая опасная из проблем потенциально позволяет получить полный доступ к системе, при наличии аутентифицированного доступа

Ну это не интересно. Это локал рут какой-то. Все уязвимости микротика сводятся к «оставили дефолтный логинпароль и вывесили винбокс/веб наружу». Т.е. основная претензия - дефолтная конфигурация - говно. Ну да, это проблема, она существует сколько существует микротик, и после каждой очередной уязвимости говорят одно и то же - сконфигурируйте нормально своё устройство.

У него там внутрях, внезапно, тот же самый iptables, и можно точно так же нормально настроить файрволл, чтобы не пущать кого не следует куда не следует. Сделайте дефольный дроп для всех входящих с внешнего интерфейса и разрешайте только то, что нужно. А при необходимости доступа к конфигурации снаружи - поднимите ВПН.

infine ★
(09.10.18 10:42:11 MSK)

Ответ на: комментарий от infine 09.10.18 10:42:11 MSK

Т.е. основная претензия - дефолтная конфигурация - говно.

В дефолтной конфигурации ни винбокс, ни веб наружу не торчат. А вот криворукие недоадмины, не способные настроить фаервол, всё портят.

Black_Shadow ★★★★★
(09.10.18 10:47:32 MSK)

Ссылка

Ответ на: комментарий от infine 09.10.18 10:42:11 MSK

Сделайте дефольный дроп для всех входящих с внешнего интерфейса и разрешайте только то, что нужно.

Так в дефолтной конфигурации так и есть.

Black_Shadow ★★★★★
(09.10.18 10:48:38 MSK)

при наличии аутентифицированного доступа

позволяют неаутентифицированному атакующему получить полный контроль за устройством.

А это интереснее.

позволяют неаутентифицированному атакующему получить полный контроль за устройством.

Обновляться надо, как будто в пингвине и бздях мало дыр находят...

беспроводные технологии априори говно

Вообще сетевые технологии говно.

mandala ★★★★★
(09.10.18 11:02:06 MSK)

Ссылка

Сейчас выкатят патчи, и всё опять будет хорошо. Забейте уже.

Deleted
(09.10.18 11:27:08 MSK)

Ссылка

Я со своим роутером, прям как линуксоид на десктопе.

Никому не нужен и не интересен из злоумышленников 🤨

fornlr ★★★★★
(09.10.18 11:29:54 MSK)
Последнее исправление: fornlr 09.10.18 11:30:17 MSK (всего исправлений: 1)

Ссылка

CVE-2018-1156 - возможность выполнения произвольного кода на устройстве при наличии аутентифицированного доступа. Воспользовавшись заданными по умолчанию и не изменёнными пользователем параметрами входа атакующий может получить root-доступ в окружении операционной системы и организовать выполнение таких операций, как проброс трафика.

А что в линуксе и бздях не бывает уязвимостей, позволяющих получить локально рута?
Какой же ты брехолог... Тебе надо журналистом на РенТВ идти. Умеешь вбросить бреда и пропагандировать свой маразм.

goodwin ★★
(09.10.18 11:59:46 MSK)

Ссылка

Обновился) спс за наводку)

~~Shulman~~ ☆
(09.10.18 12:19:50 MSK)

Ссылка

Накой он нужен этот роутер?

Вот стоит у родителей на входе в квартиру операторский роутер-медиаконвертор, или как его там. Раньше за ним стоял еще один роутер на x86 с резервным каналом, но так как уже много лет «ни единого разрыва», второй канал выкинули и x86-роутер стал ненужен. Только провайдеский роутер, свич за ним и пара точек доступа.

Давай, оспорь.

t184256 ★★★★★
(09.10.18 12:29:05 MSK)

Ответ на: комментарий от t184256 09.10.18 12:29:05 MSK

Давай, оспорь.

оспорю.
вариант 1: оператор завёл только витую пару и обжал коннектор.
вариант 2: «операторский роутер-медиаконвертор, или как его там» глючное говно, вечно виснет и т.д.
вариант 3: «операторский роутер-медиаконвертор, или как его там» нельзя настроить самому (не всегда).
возможны ещё варианты.

если тебя устраивает «операторский роутер-медиаконвертор, или как его там», то кушай его сам и без предъяв.

goodwin ★★
(09.10.18 12:41:11 MSK)

Роутер в любом случае нужен, потому как нормально заставить работать Wi-Fi адаптер на линуксе это целый крестовый поход

Есть вариант, когда провайдер сам трахается с антеннами, роутерами и прочим, а клиентам предоставляет витуху, с белой айпи, втыкающуюся в сетевуху. Конечно, эта штука часто не работает, зато не требует специфических дров.

Алсо беспроводные технологии априори говно.

А что делать, если стеклянный кабЕль не протянут;)

~~Napilnik~~ ★★★★★
(09.10.18 13:17:15 MSK)

Ссылка

Роутер у меня на pfsense, а «роутер» стал точкой доступа. Когда-то в асусе прошляпили эпичную дыру с ftp, который торчал наружу для всех желающих, даже текстовый файлик мне оставили, мол чувак, у тебя тут дыра, прикрой срам, с тех пор я все понял.

Lordwind ★★★★★
(09.10.18 14:55:51 MSK)

Ссылка

Теперь всех кто скажет что-то против «админов локалхоста» буду как котят тыкать в этот тред.

Для каждой задачи есть наиболее подходящий инструмент.

Те, кто собирают из писюков точки доступа/свичи - оверкиллят.

Те, кто всё засовывают на чужие решения - оверкиллят с другой стороны и просто непрофессионалы.

Те, кто за телефоном/ноутбуком таскают патчкорд по квартире, вместо того, чтобы использовать вайфай - идиоты клинические.

Deleted
(09.10.18 15:17:55 MSK)

Зюзероутер?

bender ★★★★★
(09.10.18 15:20:42 MSK)

Ссылка

1. Покупаешь TP-Link
2. Ставишь OpenWRT
3. ???
4. PROFIT!

goingUp ★★★★★
(09.10.18 16:08:42 MSK)

Ссылка

Ответ на: комментарий от goodwin 09.10.18 12:41:11 MSK

оператор завёл только витую пару и обжал коннектор.

Да хоть коаксиал, хоть лапшу телефонную. Пока у меня между квартирами 200-1000 мегабит без единого разрыва, буду кушать за обе щеки.

Настраивается сносно, не виснет. Не знаю, чего еще и желать, разве что VPN прям на нем, но это не критично ни разу.

t184256 ★★★★★
(09.10.18 17:55:06 MSK)

Ссылка

Ни разу не приходилось пользоваться микротиками как роутерами, только в качестве дешёвых управляемых свичей.

imul ★★★★★
(09.10.18 20:44:50 MSK)

Ссылка

Ответ на: комментарий от Deleted 09.10.18 15:17:55 MSK

Те, кто за телефоном/ноутбуком таскают патчкорд по квартире, вместо того, чтобы использовать вайфай - идиоты клинические.

В чём идиотизм? Только потому, что ты так считаешь?

Harald ★★★★★
(09.10.18 20:46:33 MSK)

Ответ на: комментарий от Harald 09.10.18 20:46:33 MSK

Потому-что максимум, для чего можно подключить ноут к домашнему гигабиту - это что-то большое слить/залить что-то с домашнего nas'а, ибо на гигабите это гораздо интереснее, даже чем на 802.11ac. А телефон/планшет - никогда не надо подключать проводом.

Deleted
(09.10.18 21:32:03 MSK)
Последнее исправление: Deleted 09.10.18 21:32:44 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 09.10.18 21:32:03 MSK

А телефон/планшет - никогда не надо подключать проводом.

откуда такой фанатизм

Harald ★★★★★
(09.10.18 22:05:57 MSK)

Ответ на: комментарий от Harald 09.10.18 22:05:57 MSK

Это вопрос?

Deleted
(09.10.18 23:32:52 MSK)

Ссылка

Ответ на: комментарий от Harald 09.10.18 22:05:57 MSK

Хм, если не секрет, как Вы собираетесь телефон/планшет проводом подключать? Через USB-сетевуху? Тогда присоединюсь к мнению, что это полный идиотизм...

Serge10 ★★★★★
(10.10.18 03:06:22 MSK)

Ссылка

давайте ещё раз высмеем всех
И побежим покупать
и хвастаться
Теперь всех буду как котят тыкать
давайте умники пользуясь случаем
Запомните это, ребята.

аж воротит от твоей быдлянственной, самонадеянной тупости.
даже единый стиль своего унылья выработать не смог. то «давайте», то «must have», то «напомните», потом «запомните», то «извините», через пару слов «[я вас] буду как котят тыкать в этот тред». извиняясь тыкать будешь, а?
хотя, разного рода стесняши, называют такое завуалированно-политкорректно: Эффект Даннинга — Крюгера

system-root ★★★★★
(10.10.18 04:29:18 MSK)