Pokusy o přihlášení na Mikrotiky

dalibortoman

Tak mám taky jeden router. Nijak zvláštně se ale nechová, ani žádná komunikace mimo běžnou.

zajimave, ze vsechny screenshoty, co byly doposud zverejnene, obsahuji stejnou IP adresu, ze ktere ten utok prisel. Asi zatim jen nekdo z Taiwanu provadi proof of concept testy.

pgb

Predpokladal bych, ze primarni obsluhu vsech sluzeb v prvni fazi dela nejaky obecny demon (inetd resp xinetd z linuxu), ktery provede kontrolu IP adres a pak teprve pripadne zavola binarku/skript obsluhujici konkretni sluzbu. Takze pokud neni zranitelnost primo v tom xinetd (sance je mensi, protoze ten demon jen prijme spojeni ci UDP packet a nemusi koukat na vlastni data, spusti cilovou binarku a pak jen prehazuje data) melo by omezeni IPcek stacit k tomu aby se napadnutelny winbox demon vubec nedostal ke slovu. Ale samozrejme to muze byt udelano i bez toho mezikusu s xinetd a pak by bylo na kazde sluzbe aby zkontrolovala povolena IP.

Ano, prostě nevíme, zkus tohle vysvětlit třeba apache2, tam ti apache odpovídá že nemáš přístup .......

mrazek609

Doplnění k včerejšímu napadnutému routeru.

RB951 SW: 6.41.3

ip services: API, SSH, Telnet a WEB zakázno. Winbox 8291 povolen jen na konkrétní rozsah IP!

ip firewal: blokován input pouze 22-23, winbox nebyl ve filter zakázán!

user: samozřejmě admin :)

pass: velmi silné (písmena, čísla, znaky)

Po hacknutí:

ip services - ssh, telnet a web povolen

ip firewall - přidány pravidla na prvních místech (viz. příspěvek ze včera)

jinak se nic zvláštního neděje, žádná komunikace tam nejede. Dokonce je provoz čistější než obvykle, to mě děsí nejvíc.

honzam

Winbox 8291 povolen jen na konkrétní rozsah IP!

Konkrétní rozsah povolen přes IP services? Vypadá to že vir toto omezení umí obejít.

Takže doporučuji winbox omezovat přímo ve firewallu a do doby než se to vyřeší tak zakázat port winboxu přímo na GW

pgb

Jo, ideálně tyhle informace pošli na support, tady to zapadne. Jinak díky moc za info, nejsem rád když mám pravdu :( s tím nastavení address v ip servicess :(

ludvik

Apache jo. Jenže když to uděláš na mikrotiku, tak je to odmítnuté dřív.

A z pohledu mikrotiku mi přijde jednodušší použít xinetd. Kromě webu to jsou všechno služby tak běžně fungující, spouštěné na žádost.

Ano, prostě nevíme, zkus tohle vysvětlit třeba apache2, tam ti apache odpovídá že nemáš přístup .......

mrazek609

https://forum.mikrotik.com/viewtopic.php?f=21&t=133533

invia

Podle normise ve výše uvedeném topicu staci v ip services povolit jen vybrané IP.

mrazek609

Koukal jsem na to a v mém případě to teda nestačilo.

ip service jsem měl u winboxu povolen jen LAN rozsah a jednu veřejnou IP z kanclu.

dalibortoman

Koukal jsem na to a v mém případě to teda nestačilo.

ip service jsem měl u winboxu povolen jen LAN rozsah a jednu veřejnou IP z kanclu.

btw: protoze zatim vsechny vypisy, co jsem videl obsahovaly jednu konkretni IP adresu v logu uspesneho prihlaseni, vubec bych se nedivil, kdyby dusledkem toho utoku bylo, ze se zaloguje jako zdroj tahle konkretni IP adresa ackoliv zdroj utoku prisel jinudy - treba z tech povolenych siti v services

mrazek609

Konkrétně za tímto napadeným routerem jsou z LAN strany jen 3 IP kamery Hikvision a 1x NAS synology.

Moc se mi nezdá, že by to šlo přes povolené rozsahy. Ale už bych se nedivil ničemu :)

honzam

Konkrétně za tímto napadeným routerem jsou z LAN strany jen 3 IP kamery Hikvision a 1x NAS synology.

Moc se mi nezdá, že by to šlo přes povolené rozsahy. Ale už bych se nedivil ničemu :)

V tvém případě to vypadá prostě na WAN útok. A IP services to nechrání...

Kolobok

Můžu poprosit od zdrojovou IP adresu ?

goblajz

What''s new in 6.43rc4 (2018-Apr-23 10):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Kolobok

What''s new in 6.43rc4 (2018-Apr-23 10):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)

dalibortoman

Můžu poprosit od zdrojovou IP adresu ?

ve vsech screenshotech je 103.1.221.39

ale treba nase sit s nim nemela za posledni dny zadnou komunikaci

hapi

What''s new in 6.43rc4 (2018-Apr-23 10):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

co znamená nezabezpečený router? Dá se považovat web přihlášení přes heslo za nezabezpečený? :-)

goblajz

Tak si tam nalej 6.42.1

What''s new in 6.43rc4 (2018-Apr-23 10):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)

honzam

What''s new in 6.43rc4 (2018-Apr-23 10):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)

v6.42.1 and v6.43rc4 have been released! They fix the vulnerability.Bugfix coming soon as well.

arrabbella

Tak si tam nalej 6.42.1

What''s new in 6.43rc4 (2018-Apr-23 10):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)

...a nebo si tam nalej nějakou ověřenou 6.38 a starší. Problém by měl být až od 6.39.

EDIT: Aha, je to už od 6.29.

« Předchozí stránka Další stránka »