JonathanInfinity01/SOC-L1-OSINT-Investigation-MikroTik-CVE-2018-1156

# SOC L1 威胁调查：MikroTik RouterOS 多重暴露服务 ## 执行摘要 主动威胁狩猎演练，识别出一台具有多重暴露服务的公网 MikroTik RouterOS 设备。调查将 2000/TCP 上暴露的 Bandwidth-Test 服务与高危 RCE 漏洞 CVE-2018-1156 进行了关联。1701/UDP 上 L2TP VPN 的额外暴露增加了攻击面。此案例展示了 L1 的能力：资产发现、服务枚举、CVE 关联以及基于风险的分类。 ## 1. 检测与初始发现 使用 Shodan，识别出了一台暴露在互联网上的 MikroTik 设备，该设备有两个服务可从公共互联网访问。众所周知，Bandwidth-Test 服务器是攻击目标，如果配置不当，L2TP 服务可能会被用于暴力破解或隧道攻击。 **证据 - Shodan**  **妥协指标 (IOCs)** | 指标 | 值 | 上下文 | | --- | --- | --- | | **IP 地址** | `190.99.193.178` | 公网 IP | | **端口/协议** | `2000/TCP`, `1701/UDP` | Bandwidth-Test, L2TP VPN | | **设备** | `MikroTik RouterOS` | 网络基础设施 | | **地理位置** | `Cali, Colombia` | 拉丁美洲地区 | | **ISP/组织** | `EMPRESAS MUNICIPALES DE CALI E.I.C.E E.S.P.` | AS10299 | ## 2. 漏洞关联与风险评估 2000/TCP 上暴露的 Bandwidth-Test 服务与 **CVE-2018-1156** 相关联，这是 6.42.7 之前版本的 MikroTik RouterOS 中存在的一个栈缓冲区溢出漏洞。虽然 1701/UDP L2TP 并不直接与该 CVE 绑定，但其公开暴露扩大了攻击面，并通常被滥用于 DoS 或凭据攻击。 **证据 - NIST NVD**  **主要 CVE 技术细节** | 属性 | 值 | | --- | --- | | **CVE ID** | CVE-2018-1156 | | **CVSS v3.0 评分** | **8.8 高危** | | **向量字符串** | `AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H` | | **攻击复杂度** | 低 - 无需用户交互 | | **影响** | 机密性、完整性、可用性：高 | | **漏洞类型** | 基于栈的缓冲区溢出 -> RCE | | **受影响服务** | 2000/TCP 上的 Bandwidth-Test 服务器 | ## 3. 分析师结论与修复计划 **结论：** 由于暴露的 Bandwidth-Test 服务上存在 CVE_2018-1156，已确认存在高风险。经过身份验证的攻击者可以实现远程代码执行。1701/UDP 上 L2TP 的额外暴露构成了不必要的攻击面，应进行审查以进行安全加固。 **建议立即采取的行动：** 1. **修补：** 将 RouterOS 升级到 6.42.7 或更高版本以修复 CVE-2018-1156。 2. **加固：** 如果不需要，禁用 Bandwidth-Test 服务器：`/tool bandwidth-server set enabled=no` 3. **限制：** 使用防火墙规则限制 L2TP 1701/UDP 访问，仅允许已知的 VPN 节点。如果未使用则禁用。 4. **审计：** 审查所有暴露的服务，并在边界关闭不必要的端口。 ## 4. 展示的技能与方法论 `OSINT 与威胁狩猎` `Shodan 查询` `服务枚举` `CVE 与 CVSS 分析` `NIST NVD 研究` `攻击面分析` `基于风险的分类` `技术写作` `修复规划` ## 使用的工具 - **Shodan.io:** 攻击面发现和服务枚举 - **NIST NVD:** 权威的漏洞和风险评分数据 *此仓库是网络安全作品集的一部分，旨在展示实用的 L1 SOC 技能。*

标签：ESC4, OSINT, SOC分析, 威胁情报, 安全运营, 实时处理, 密码管理, 开发者工具, 扫描框架