Pokusy o přihlášení na Mikrotiky

mena

Dá se nějak zjistit, že je router infikovaný - tedy po útoku router lehne <<<nebo>>>> pracuje dál, je přeheslovaný a vykonává síťový provoz nadále a dál se šíří (nemá nastavený nějaký odpočet a potom si lehne?)

[smazaný]

dá se na to přijít jen pomocí spuštění klasického linuxového řádku na MikroTiku (BASH) pomocí doinstalované jiné image např. OpenWRT

zde je třeba jeden návod, sám jsem to nikdy nezkoušel, na mě příliš složité a stejně je to jedno a nedoporučovaný postup, může se ztratit licence.

http://blog.rchapman.org/posts/Getting_ ... uterBoard/

mena

Kolegové, rád bych Vás tímto požádal o podporu v následující věci:

Bohužel, jak je vidno, Mikrotik již několikrát selhal se svým vyjádřením, že od verze 6.xxx je již problém vyřešen a zjistil, že má další a další chyby. Přičemž se obecně o chybě ví již dlouho. Dosavadní řešení Mikrotiku považuji za velice laxní (pouze deklarace: nahrajte si novou verzi...). Například celá řada poskytovatelů nemá zřízen přístup z WAN do domácích GW (a to hlavně z bezpečnostních důvodů) a tedy musí jak pitomci jezdit a opakovaně měnit verze OS přímo u zákazníků.

Pokud je mezi Vámi někdo s dobrými vazbami přímo na Mikrotik, vyzvěte ho, že je nejlepší kdyby k tomu začal přistupovat konečně odpovědně. V první fázi bychom potřebovali urychleně utilitu, která využije všech dostupně známých děr. Zadali bychom do vstupu rozsahy IP adres, utilita by provedla scan a našla napadené routery, případně routery, které nejsou napadeny, ale nemáme do nich přístup z WAN. Dále by utilita provedla opravu a zabezpečení ROS.

Pokud tedy někdo z Vás může vznik takovéto utility ovlivnit, zkuste to.

Ostatní, pokud v tomto vidíte smysl, tak to tady prosím podpořte.

mirek_k

Já jsem určitě pro, i když s Mikrotikama asi nehneme.

Mirek

[smazaný]

ještě další aktuální info. množí se další dotazy. problém již jen se mnou řeší alespoň 20sítí

jsou tu firmy, co mají 6.41.3. a jsou infikované. Pozor, jak píšu je třeba NETINSTALL. ne upgrade ROS tam partition zůstane !!!

a další mají po netinstallu ovšem obnovu z backupu a taky problém !!!

je třeba po netinstalu použít pouze EXPORT !!! ten je textový a bez viru

díra je i v samotném SSH, MikroTik v minulých verzích to má i v changelogu

*) ssh - fixed SSH service becoming unavailable;

*) ssh - generate SSH keys only on the first connect attempt instead of the first boot;

*) ssh - improved key import error messages;

*) ssh - remove imported public SSH keys when their owner user is removed;

A CCR+PC používají nové klíčování od v 6.41.3

*) ssh - do not use DH group1 with strong-crypto enabled;

*) ssh - enforced 2048bit DH group on tile and x86 architectures;

martint

Virus je nyní velmi systematický, napadá stroje po SSH čímž si testuje přístup. Dále využije chybu přetečení bufferu NetBiosu (tedy blokace IP protokolu nepomůže) a lokálně po L2 vrstvě napadá okolní stroje.

..

POZOR vir se šíří chybou SMB overflow popsanou výše, tedy blokace IP protokolu ve firewallu nepomůže !!!

Tvrzení "" ukazuje zneužití pomocí TCP/IP spojení na port 139. Firewall by to IMHO měl zastavit.

NetBIOS lze provozovat i přes protokol NetBEUI, což je nonIP věc, ale jen v lokální síti. SMB na RouterOS nepoužívám, nevím tedy, jestli v rámci zapnutí SMB pak router zpracovává i NetBEUI pakety. Toto vaše tvrzení lze vykládat, že ano. Je to tak ?

A defaultně je služba SMB vypnutá, takže se IMHO nedá uvedeným způsobem zneužít. Nebo je to jinak ?

S pozdravem

iTomB

Krystofe a jeste jeden poznatek. Vir by se mel sirit pomoci SMB, ale ty v uvodu pises, ze zneuzije SSH. Jak?

Ani v tom externim popisu o SSH neni jedina zminka.

Diky

Tom

[smazaný]

dle toho článku se využije chyby přetečení bufferu. tedy zřejmě na to reaguje MikroTik i s nezapnutým SMB

vypadá to tak, jelikož se napadjí touto infekcí jen routery lokálně.

Jinak ohledně SSH je to další chyba, inzerovaná před chvílí ISPADMINem

;-(

selic

dle toho článku se využije chyby přetečení bufferu. tedy zřejmě na to reaguje MikroTik i s nezapnutým SMBvypadá to tak, jelikož se napadjí touto infekcí jen routery lokálně.Jinak ohledně SSH je to další chyba, inzerovaná před chvílí ;-(

Tohle by mě zajímalo - jestli prvotní útok přijde z internetu skrz veřejnou IP adresu nebo to přijde zevnitř skrz zavirované PC uživatele za Mikrotikem.

k3ny

Kolegové, rád bych Vás tímto požádal o podporu v následující věci:

Bohužel, jak je vidno, Mikrotik již několikrát selhal se svým vyjádřením, že od verze 6.xxx je již problém vyřešen a zjistil, že má další a další chyby. Přičemž se obecně o chybě ví již dlouho. Dosavadní řešení Mikrotiku považuji za velice laxní (pouze deklarace: nahrajte si novou verzi...). Například celá řada poskytovatelů nemá zřízen přístup z WAN do domácích GW (a to hlavně z bezpečnostních důvodů) a tedy musí jak pitomci jezdit a opakovaně měnit verze OS přímo u zákazníků.

Pokud je mezi Vámi někdo s dobrými vazbami přímo na Mikrotik, vyzvěte ho, že je nejlepší kdyby k tomu začal přistupovat konečně odpovědně. V první fázi bychom potřebovali urychleně utilitu, která využije všech dostupně známých děr. Zadali bychom do vstupu rozsahy IP adres, utilita by provedla scan a našla napadené routery, případně routery, které nejsou napadeny, ale nemáme do nich přístup z WAN. Dále by utilita provedla opravu a zabezpečení ROS.

Pokud tedy někdo z Vás může vznik takovéto utility ovlivnit, zkuste to.

Ostatní, pokud v tomto vidíte smysl, tak to tady prosím podpořte.

proc by mel MK delat nejaky script. ten si napise i cvicena opice

martint

Jinak ohledně SSH je to další chyba, inzerovaná před chvílí ISPADMINem

;-(

Na mne trochu moc paniky.

ISPAdminem odkazované články (jejich post s funkčními odkazy https://ispforum.cz/viewtopic.php?p=230796#p230796) jsou z 24/4/2018. Den poté co Mikrotik vydal verze 6.40.8 a 6.42.1 jako security release opravující chybu ve winboxu (https://forum.mikrotik.com/viewtopic.php?f=21&t=133533).

Pokud to je stejná věc, SSH se používá jen pro potvrzení, že se jedná o RouterOS. Průnik jde skrz Winbox. Po úspěšném průniku jsou provalené názvy účtů a hesla k nim (je tedy třeba je změnit a to všude kde jsou používané).

k3ny

jenom na okraj ROS nizsi nez 6.12 tim zda se netrpi, respektive vim o nekolika MT s touto verzi se zaplym www telnet ssh atd. a porad si jich nikdo krom klasickych IP scanneru nevsima, zadny podezrely datovy tok z nich nechodi. Vzhledem k tomu ze na jinem MK s vyssi verzi se stejnym rozsahem IP se problém uz objevil a resil, mam za to ze chyba je u vyssich verzi. PS. FW ty MK ani nemaji.

mpcz

Zdravím, no je zajímavé sledovat, jak se tady autoři předhánějí ve varováních před virem, popisem možných řešení a už jenom z několika proti sobě jdoucích vysvětlení je jasné, že to dokonale jasné není velice nikomu. Jelikož mě taky ne, měl bych prostý dotaz: má už někdo spolehlivou detekci napadeného systému? (Ten dotaz tu již byl několikrát, ale nějak jsem nezahlédl kloudnou odpověď). Protože - reinstalovat desítky strojů, navíc z image lokálně je neskutečný opruz a věřím tomu, že to bude hodně lidí odkládat, jak to půjde. Ale - pokud budu pozitivně vědět, že stroj je napadený, téměř jistě to udělá každý. Děkuji, mpcz, 16.5.2018

dalibortoman

ja bych rekl, ze operovat se SMB je mozne, ale nesmyslne. Predpokladam, ze pokud je zakazana tak opravdu sluzba nebezi. A pokud nebezi tak nejaka zranitelnost v jejim kodu nemuze slouzit k napadeni boardu (bez pristupu k CFG toho MT).

No je mozne, ze konecne prisla odpoved na nekolikrat vznesenou otazku: "a k cemu ty naskenovany udaje z nasich MT nekomu budou?". Databaze hesel se jiz naplnila a je na poradu dne ji vyuzit. Pak si tu sambu muze utocnik po prihlaseni i povolit, aby se mu snaze hackovalo

myghael

...

Například celá řada poskytovatelů nemá zřízen přístup z WAN do domácích GW (a to hlavně z bezpečnostních důvodů) a tedy musí jak pitomci jezdit a opakovaně měnit verze OS přímo u zákazníků.

...

Poněkud off-topic, ale přesto si dovolím rýpnutí - přístup z WAN na management zařízení má vypnuté u klientů snad každý, ale speciálně u mikrotiku snad nemůže být takový problém si do firewallu přidat jedno pravidlo a tím si zprovoznit přístup například výhradně z dohledového centra (pokud dotyčný subjekt něco takového má) nebo nějaké kanceláře - nějaké sídlo či "kutloch" nebo minimálně sklad snad musí mít úplně každý, kdo poskytuje připojení k internetu, nebavíme-li se tu o výlupcích v paneláku co sdílí nějakou rychlejší domácí linku (kabelovka, optika, etc.) sektorkou na balkóně.

mena

od Myghael » 12 minutes agomena píše:... Například celá řada poskytovatelů nemá zřízen přístup z WAN do domácích GW (a to hlavně z bezpečnostních důvodů) a tedy musí jak pitomci jezdit a opakovaně měnit verze OS přímo u zákazníků. ...Poněkud off-topic, ale přesto si dovolím rýpnutí - přístup z WAN na management zařízení má vypnuté u klientů snad každý, ale speciálně u mikrotiku snad nemůže být takový problém si do firewallu přidat jedno pravidlo a tím si zprovoznit přístup například výhradně z dohledového centra (pokud dotyčný subjekt něco takového má) nebo nějaké kanceláře - nějaké sídlo či "kutloch" nebo minimálně sklad snad musí mít úplně každý, kdo poskytuje připojení k internetu, nebavíme-li se tu o výlupcích v paneláku co sdílí nějakou rychlejší domácí linku (kabelovka, optika, etc.) sektorkou na balkóně.

Opravdu tyhle poučné příspěvky miluji. Přece je to jen o tom, co je předávací rozhraní. V našem případě je to konektor RJ 45 na optické bráně. Zákaznický router za tímto předávacím rozhraním je již zákazníkův majetek a volba. Kdyby Mikrotik neměl díry v systému nebylo by co řešit. Až se vyskytne problém, tak ti co si zvolili Mikrotik budou v pytli a samozřejmě budou volat nás (jen zlomek lidí se o routery stará, nevyjímaje ajťaky různých firem). Jen jsem příspěvkem chtěl sdělit, že by se hodila utilita, která by využila bezpečnostní chyby Mikrotiku, aby do něj stejným způsobem jako útočník pronikla, opravila by ho a zabezpečila. Jsem přesvědčen, že by jste si ji i Vy určitě stáhl....

pintero

A co zákazníci s vlastním MK, kteří si ho sami konfigurují ? Třeba firemní ? Takových mám na síti také dost.....

pintero

Našel jsem jednoho mikrotika, který měl v logu několik pokusů o přihlášení přes web (port jsem měl na 8888), žádný platný login ale v logu nebyl, ale po chvilce se v logu objevil řádek "dns changed" a pak další "created pub directory".

Samba byla vypnutá.

mpcz

To mena: napiš si kolegovi K3NY. Ten možná nějakou cvičenou opici zná, která to umí. No a když to tak píše, tak to bude umět i sám. Já bych se za nějakou diagnostickou věc taky vřele přimlouval, ať už bude mít podobu jakoukoliv. Hlavně když mi to řekne: je napadeno / není napadeno, popř. je napadnutelné / není napadnutelné - jako bonus. mpcz, 16.5.2018

okoun

oddělení sítě od zákaznických prvků to je základ, potom už ce člověk tak být nemusí...

já furt hlavně nechápu co tady všichni tak najednou vyvádějí když tohle už není zas taková novinka s tím virem a bylo dost času si to dát do kupy....

« Předchozí stránka Další stránka »