Dulu pernah ada temen yang ceriwis soal MikroTik yang tidak dapat dibobol, bagaimanapun caranya. Memang benar jika dulu router platform ini hampir tidak mempunyai sejarah kelam vulnerability. Selain terus mengembangkan fitur-fitur yang mendukung kinerja jaringan, team MikroTik sepertinya mempunyai komitmen tinggi untuk menjaga produknya agar tetap dalam kondisi terbaik.
Tahun lalu tepatnya Selasa 7 Maret 2017, badan pers independen WikiLeaks membeberkan serangkaian operasi rahasia yang dilakukan oleh Central Intellegence Agency (CIA). Diberi codename Vault 7 oleh WikiLeaks, seluruh dokumen rahasia dipublikasikan termasuk cara bagaimana CIA memata-matai warga negara Amerika
Tak ketinggalan RouterOS masuk dalam daftar Vault 7. Di dalam dokumen itu dikatakan tentang sebuah exploit yang mampu membuat penyerang mampu mengupload payload seperti HIVE atau TinyShell ke dalam RouterOS. Selanjutnya penyerang dapat mengirimkan perintah kepada perangkat MikroTik seperti me-reboot, membuat user baru, dan lainnya yang dapat membuat penyerang menguasai sepenuhnya perangkat tersebut. Vault 7 menyebutnya sebagai Chimay-red
Setelah kejadian itu, tak lama kemudian muncul celah baru yang menyerang layanan sharing file SMB dengan jenis stack buffer-overflow. Letak celah ada pada sebuah fungsi yang digunakan untuk mem-parsing nama NetBIOS yang seharusnya memiliki 2 stack sebagai parameter. Tidak disebutkan apakah vulnerabilty ini termasuk dalam jajaran celah yang diungkap pada Vault 7 atau bukan karena tidak ada dokumen yang menyinggung soal ini. Beberapa orang menyebut ini sebagai Chimay-blue karena cara kerja exploit-nya yang relatif mirip dengan Chimay-red.
Baru-baru ini, kembali viral vulnerbility yang entah apakah ini termasuk bagian dari Vault 7 atau bukan. Kali ini prokotol yang mempunyai celah berbahaya adalah protokol yang sangat khas sekali dengan MikroTik, yaitu protokol Winbox. Winbox merupakan aplikasi dengan platform Windows yang digunakan oleh pengguna untuk mengkonfigurasi MikroTik dalam bentuk GUI. Setiap permintaan yang dilakukan oleh Winbox, akan dibalas dengan MikroTik disertai dengan session id. Dengan sedikit modifikasi, maka file yang dibutuhkan bisa didapatkan. File tersebut kemudia di decode untuk mendapatkan username dan password. Diantara semua vulnerability diatas, vulnerability ini adalah yang paling mudah untuk dijalankan.
Baru-baru ini, kembali viral vulnerbility yang entah apakah ini termasuk bagian dari Vault 7 atau bukan. Kali ini prokotol yang mempunyai celah berbahaya adalah protokol yang sangat khas sekali dengan MikroTik, yaitu protokol Winbox. Winbox merupakan aplikasi dengan platform Windows yang digunakan oleh pengguna untuk mengkonfigurasi MikroTik dalam bentuk GUI. Setiap permintaan yang dilakukan oleh Winbox, akan dibalas dengan MikroTik disertai dengan session id. Dengan sedikit modifikasi, maka file yang dibutuhkan bisa didapatkan. File tersebut kemudia di decode untuk mendapatkan username dan password. Diantara semua vulnerability diatas, vulnerability ini adalah yang paling mudah untuk dijalankan.
Semua celah diatas dapat ditangani atau ditutup dengan cara:
- Cabut semua kabel yang mengarah ke semua host dan matikan layanan wireless
- Matikan RouterBoard
- Please don't be jerk. Move from your server room. It's beautiful out there!
- Jika anda sudah terkena serangan tersebut, RouterBoard tidak dapat di-upgrade. Karena perangkat dalam keadaan mati dan kabel sudah dicabut. Nyalakan dahulu, kemudian tancapkan kabelnya. Selanjutnya upgrade RouterOS ke versi 6.42.6
- Terapkan MikroTik basic securing pada RouterOS. Bisa dilihat di-channel MikroTik Indonesia (DiSINI)
- Jangan lupa ya firewall dan white-list/black-list IP address
Itu saja dari saya, semoga bermanfaat.
Salam
- Cabut semua kabel yang mengarah ke semua host dan matikan layanan wireless
- Matikan RouterBoard
- Please don't be jerk. Move from your server room. It's beautiful out there!
- Jika anda sudah terkena serangan tersebut, RouterBoard tidak dapat di-upgrade. Karena perangkat dalam keadaan mati dan kabel sudah dicabut. Nyalakan dahulu, kemudian tancapkan kabelnya. Selanjutnya upgrade RouterOS ke versi 6.42.6
- Terapkan MikroTik basic securing pada RouterOS. Bisa dilihat di-channel MikroTik Indonesia (DiSINI)
- Jangan lupa ya firewall dan white-list/black-list IP address
Itu saja dari saya, semoga bermanfaat.
Salam
Reference:
- MikroTik RouterOS SMB Buffer Overflow. (2018). Retrieved from https://www.coresecurity.com/advisories/mikrotik-routeros-smb-buffer-overflow
- Vault7. (2018). Retrieved from https://wikileaks.org/ciav7p1/
- Chimay Red, TinyShell, and BusyBox Quick Start Guide. (2018). Retrieved from https://wikileaks.org/ciav7p1/cms/page_16384604.html
- BigNerd95 Repository. (2018). Retrieved from https://github.com/BigNerd95
- BasuCert Repository - WinboxPoC. (2018). Retrieved from https://github.com/BasuCert/WinboxPoC
- Dissection of Winbox critical vulnerability. (2018). Retrieved from https://n0p.me/winbox-bug-dissection/
Komentar
Posting Komentar
Terima kasih telah berkunjung.