राउटरओएस में बैकपोर्ट भेद्यता सैकड़ों हजारों उपकरणों से समझौता करती है

राउटरओएस (मिकरोटिक) पर आधारित उपकरणों को दूरस्थ रूप से डाउनग्रेड करने की क्षमता जोखिम में हजारों नेटवर्क उपकरणों को लगाती है। भेद्यता Winbox प्रोटोकॉल के DNS कैश की विषाक्तता से जुड़ी है और डिवाइस पर पुराने (डिफ़ॉल्ट रूप से पासवर्ड रीसेट करने के साथ) या संशोधित फर्मवेयर की अनुमति देता है।

भेद्यता विवरण

राउटरओएस टर्मिनल DNS लुकअप के लिए रिज़ॉल्यूशन कमांड का समर्थन करता है।



यह अनुरोध एक बाइनरी नाम रिज़ॉल्वर द्वारा संसाधित किया जाता है। रिज़ॉल्वर कई बायनेरिज़ में से एक है जो राउटरओएस विनबॉक्स प्रोटोकॉल से जुड़ा है। उच्च स्तर पर, Winbox पोर्ट को भेजे गए "संदेश" को राउटरओएस में एक सरणी-आधारित नंबरिंग योजना के आधार पर विभिन्न बायनेरिज़ में भेजा जा सकता है।

डिफ़ॉल्ट रूप से, RouterOS में DNS सर्वर सुविधा अक्षम है।



हालाँकि, सर्वर फ़ंक्शन अक्षम होने के बावजूद, राउटर अपने DNS कैश को बनाए रखता है।



जब हम winbox_dns_request का उपयोग करके अनुरोध करते हैं, उदाहरण के लिए, example.com, राउटर परिणाम को कैश करेगा।



चूंकि हम DNS सर्वर को निर्दिष्ट कर सकते हैं जिसके माध्यम से अनुरोध जाना चाहिए, गलत पते दर्ज करना तुच्छ है। उदाहरण के लिए, आप हमेशा IP पते 192.168.88.250 वाले A रिकॉर्ड के साथ प्रतिक्रिया देने के लिए फिलिप क्लाउस से DNS सर्वर के कार्यान्वयन को कॉन्फ़िगर कर सकते हैं।

def dns_response(data): request = DNSRecord.parse(data) reply = DNSRecord(DNSHeader( id=request.header.id, qr=1, aa=1, ra=1), q=request.q) qname = request.q.qname qn = str(qname) reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250"))) print("---- Reply:\n", reply) return reply.pack() 

अब, यदि आप Winbox का उपयोग करके example.com देखते हैं, तो आप देख सकते हैं कि राउटर का DNS कैश ज़हर हो गया है।



बेशक, विषाक्तता example.com बहुत उपयोगी नहीं है क्योंकि राउटर वास्तव में इसका उपयोग नहीं करेगा। हालाँकि, राउटर को अपग्रेड करने की जरूरत है.m.mrotrotik.com, cloud.mikrotik.com, cloud2.mikrotik.com और download.mikrotik.com। और एक और गलती के लिए धन्यवाद, एक बार में उन सभी को जहर करना संभव है।

 def dns_response(data): request = DNSRecord.parse(data) reply = DNSRecord(DNSHeader( id=request.header.id, qr=1, aa=1, ra=1), q=request.q) qname = request.q.qname qn = str(qname) reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250"))) reply.add_answer(RR("upgrade.mikrotik.com",ttl=604800, rdata=A("192.168.88.250"))) reply.add_answer(RR("cloud.mikrotik.com",ttl=604800, rdata=A("192.168.88.250"))) reply.add_answer(RR("cloud2.mikrotik.com",ttl=604800, rdata=A("192.168.88.250"))) reply.add_answer(RR("download.mikrotik.com",ttl=604800, rdata=A("192.168.88.250"))) print("---- Reply:\n", reply) return reply.pack() 

राउटर एक अनुमति का अनुरोध करता है, और हम पांच वापस प्रदान करते हैं। राउटर इन सभी प्रतिक्रियाओं को गलत तरीके से कैश करता है।



जाहिर है, यह हमला तब भी उपयोगी है जब राउटर एक DNS सर्वर के रूप में कार्य करता है, क्योंकि यह राउटर के ग्राहकों पर हमला करने की अनुमति देता है।

इसके अलावा, यह हमला अधिक गंभीर भेद्यता का शोषण करने की अनुमति देता है: राउटरओएस संस्करण को डाउनग्रेड या बैकपोर्ट करता है। हमलावर अपडेट सर्वर के तर्क को बदल देता है, जिसमें चैंज शामिल है, और राउटरओएस को वर्तमान के दौरान पुराने (कमजोर) संस्करण को स्वीकार करने के लिए मजबूर करता है। यहां खतरा इस तथ्य में निहित है कि संस्करण को "अपडेट" करते समय, व्यवस्थापक पासवर्ड डिफ़ॉल्ट मान पर रीसेट हो जाता है - एक हमलावर खाली पासवर्ड के साथ सिस्टम में लॉग इन कर सकता है!


यह हमला काफी काम कर रहा है, इस तथ्य के बावजूद कि लेखक कई और वैक्टरों को लागू करता है, जिसमें फर्मवेयर में एक पिछले दरवाजे को एम्बेड करने से संबंधित हैं, लेकिन यह पहले से ही एक अनावश्यक तकनीक है और इसका नाजायज उद्देश्यों के लिए उपयोग करना अवैध है।

सुरक्षा

बस Winbox को निष्क्रिय करना इन हमलों से बचाता है। Winbox के माध्यम से व्यवस्थापन की सुविधा के बावजूद, SSH प्रोटोकॉल का उपयोग करना बेहतर है।