В админке роутера включаем Удаленный сервер журнала (вбиваем свой IP).
в /etc/rsyslog.conf
включаем прослушивание udp (раскомментируем две строчки)
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
слушаем tcpdump‘ом, что нам приходит на этот порт (нужен айпишнек роутера).. У меня сообщения приходят от домена провайдера.
Поэтому создаю файл со следующим содержимым:
nano /etc/rsyslog.d/rt-g32.conf
:source, isequal, "host-*-*-*-*.domen.com" /var/log/router.log
:source, isequal, "host-*-*-*-*.domen.com"
вторая строчка, что бы пришедшее сообщение далее по конфигу не обрабатывалось.
вместо звездочек – айпишнек. вопщем адрес должен быть такой, какием его показывает tcpdump.
Обновляем конфиг:
service rsyslog reload
создаем файл, куда будет сваливаться лог.
touch /var/log/router.log
chown root:adm /var/log/router.log
Если всё сделали правильно – лог заполняется. Если не правильно – пищит спикер и сообщение заносится в системный журнал. Если открыт терминал – вывод так же идет на него. Если сделали еще неправильнее – ни чего не получаем.
Страница 22
Руководство пользователя роутера RX3041 V2
На этой странице показана активность роутера и параметры удаленного журнала. Кроме
отображения, журнал активности может быть отправлен в другое место. Журнал может быть
отправлен по электронной почте.
System Log: Показывает активность роутера.
Remote Log: Включите эту опцию для отправки журнала на удаленный сервер.
Send log to: Введите IP адрес удаленного сервера.
Email Log: Включите эту опцию для отправки журнала по электронной почте.
Send Email to: Введите адрес электронной почты для отправки журнала.
SMTP server: Введите адрес SMTP сервера, используемого для отправки журнала.
Xakep #248. Checkm8
Еще в январе 2017 года исследователи компании Nightwatch Cybersecurity обнаружили ряд уязвимостей более чем в сорока моделях роутеров Asus RT. Так как исследователи незамедлительно уведомили разработчиков Asus о проблемах, в марте 2017 года компания выпустила обновленную версию прошивки. Ниже можно увидеть список уязвимых устройств (специалисты подчеркивают, что он неполон). Всем владельцам роутеров данных моделей рекомендуется проверить версию прошивки и убедиться, что она не ниже v3.0.0.4.380.7378.
- RT-AC51U
- RT-AC52U B1
- RT-AC53
- RT-AC53U
- RT-AC55U
- RT-AC56R
- RT-AC56S
- RT-AC56U
- RT-AC66U
- RT-AC68U
- RT-AC68UF
- RT-AC66R
- RT-AC66U
- RT-AC66W
- RT-AC68W
- RT-AC68P
- RT-AC68R
- RT-AC68U
- RT-AC87R
- RT-AC87U
- RT-AC88U
- RT-AC1200
- RT-AC1750
- RT-AC1900P
- RT-AC3100
- RT-AC3200
- RT-AC5300
- RT-N11P
- RT-N12 (только версия D1)
- RT-N12+
- RT-N12E
- RT-N16
- RT-N18U
- RT-N56U
- RT-N66R
- RT-N66U (только версия B1)
- RT-N66W
- RT-N300
- RT-N600
- RT-4G-AC55U (патча пока нет)
В блоге Nightwatch Cybersecurity можно найти подробное описание всех обнаруженных проблем, а также proof-of-concept эксплоиты для них. Ниже мы приводим краткое описание уязвимостей.
CSRF на странице логина (CVE-2017-5891): страница входа в админку роутера не защищена от CSRF-атак, а значит, атакующий может заманить пользователя на вредоносный сайт и оттуда осуществить запрос к странице логина. Этот баг можно использовать для входа в панель администратора, если устройство использует учетные данные по умолчанию (admin/admin), или в том случае, если злоумышленник знает логин и пароль жертвы.
Сохранение настроек CSRF (CVE-2017-5891): используя описанную выше проблему, атакующий может изменить сетевые настройки или настройки безопасности роутера, а также учетные данные.
JSONP раскрывает информацию, аутентификация не требуется: JSONP отвечает на запросы извне, сообщая злоумышленнику такую информацию, как модель роутера, SSID, IP-адреса и так далее.
JSONP раскрывает информацию, требуется аутентификация (CVE-2017-5892): как и в вышеописанном случае, JSONP раскрывает данные об устройстве, в том числе более подробную информацию о сети, настройки access point, внешний IP-адрес, данные WebDAV и так далее.
XML-эндпоинт позволяет узнать пароль от Wi-Fi: для реализации атаки нужно, чтобы злоумышленник находился в той же сети и знал пароль администратора, после чего можно обратиться к XML и узнать пароль от Wi-Fi.
Однако это не все уязвимости, которые разработчики Asus устранили в новой версии прошивки. Еще несколько проблем в роутерах серии RT обнаружил независимый исследователь Бруно Бирбаумер (Bruno Bierbaumer). Среди его «находок» были XSS на странице логина (CVE-2017-6547), баг, позволяющий похищать сессии (CVE-2017-6549), а также опасная RCE-уязвимость (CVE-2017-6548).