MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

standula

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:

backup.jpg

datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

je nejaka sance, ze by se to dalo svest na prunik se znalosti hesla? Tj bud nejake slabe heslo nebo se jednak o zarizeni, ktere do nedavna bezelo se napadnutelnou verzi ROSu?

Co se podívat do netflows jaký provoz šel na tu IP?

mpcz

to Standula: to jsem udělal jako první. Nic. Bohužel, nevím, jestli to chrlení na port Winboxu 8291 je trvalé nebo si třeba vytváří pauzičky z důvodu maskování této činnosti a už se nesnaží infikovat další stroje. Dále nevím, co to je za "mód", když už ten dobrák RB zamkne. Ping na zařízení funguje normálně, provoz také není omezen, takže tuto eventuální činnost může provádět delší dobu bez povšimnutí. (Dokud někdo neudělá pokus o přihlášení).

No a teď ta důležitá věc: co s tím? Je možné, že útočník po nějaké době RB zase odemkne, kdosi tu psal, že se do něj nakonec dostal. Na to bych se ale moc nespoléhal. Tento RB je docela dobře přístupný, není problém hodit reset. Jenomže: je to dostačující? Někdo tu psal o dvou part., což by mohlo umožnit přežít reset, jenomže - umíme tuto variantu nějak spolehlivě detekovat? Ostatně ta detekce "čistého" stroje by se velice hodila. Ještě by bylo zajímavé podívat se, proč MKT vytvořil sám od sebe ten backup a hlavně, co v něm je. Je někde dešifrátor těch backupů?

Bohužel výrobce nic. Umí to někdo? Sice je to jen na základu dojmologie, ale pevně věřím, že to nemůže být zas tak velký problém. Vždyť i ta skrytá část i když není vidět, musí zabírat nějaké místo. Kde jsou ti odborníci na Linux? A kolega K3NY se svými cvičenými opicemi? Děkuji, mpcz, 1.jun.2018

mpcz

Zdravím, tak se začaly množit stroje s přepsanými DNS záznamy. Na jednom stroji jsem to kontroloval před 5 dny a bylo to OK, nejméně měsíc tam je 6.42.1 a změna hesla.

Druhá věc: má už někdo info o nějakém indikátoru virové 2. partition? Jestli tam je vytvořena i po HW resetu. Popř. jistotu, že stačí upgrade na poslední verzi ROS. Na jednom stroji jsem provedl HW reset a následně upgrade na 6.42.3 a prošel všechno nastavení. Nic jsem neviděl zvláštního, ale to samozřejmě neznamená, že to tam není. Nedá se to poznat ani z volného prostoru v paměti? Dík, mpcz, 06.06.2018

k3ny

to Standula: to jsem udělal jako první. Nic. Bohužel, nevím, jestli to chrlení na port Winboxu 8291 je trvalé nebo si třeba vytváří pauzičky z důvodu maskování této činnosti a už se nesnaží infikovat další stroje. Dále nevím, co to je za "mód", když už ten dobrák RB zamkne. Ping na zařízení funguje normálně, provoz také není omezen, takže tuto eventuální činnost může provádět delší dobu bez povšimnutí. (Dokud někdo neudělá pokus o přihlášení).

No a teď ta důležitá věc: co s tím? Je možné, že útočník po nějaké době RB zase odemkne, kdosi tu psal, že se do něj nakonec dostal. Na to bych se ale moc nespoléhal. Tento RB je docela dobře přístupný, není problém hodit reset. Jenomže: je to dostačující? Někdo tu psal o dvou part., což by mohlo umožnit přežít reset, jenomže - umíme tuto variantu nějak spolehlivě detekovat? Ostatně ta detekce "čistého" stroje by se velice hodila. Ještě by bylo zajímavé podívat se, proč MKT vytvořil sám od sebe ten backup a hlavně, co v něm je. Je někde dešifrátor těch backupů?

Bohužel výrobce nic. Umí to někdo? Sice je to jen na základu dojmologie, ale pevně věřím, že to nemůže být zas tak velký problém. Vždyť i ta skrytá část i když není vidět, musí zabírat nějaké místo. Kde jsou ti odborníci na Linux? A kolega K3NY se svými cvičenými opicemi? Děkuji, mpcz, 1.jun.2018

no tak jestli neumis prevest souvor .backup na .rsc tak to mas dost blby (doporucuji zacit zde https://www.i4wifi.cz/Skoleni/MikroTik- ... -cast.html) a vycist heslo z backup jde taky (https://www.mikrotikpasswordrecovery.net/)

honzam

Nic jsem neviděl zvláštního, ale to samozřejmě neznamená, že to tam není. Nedá se to poznat ani z volného prostoru v paměti? Dík, mpcz, 06.06.2018

Jedinné co mě napadá upgradovat na 6.43rc

What's new in 6.43rc23

* ) supout - added "partitions" section to supout file;

a pak přes supout čtečku která je volně dostupná se podívat jestli tam opravdu nějaká skrytá partition není

mpcz

Děkuji,

to K3NY, školení za pár tisíc, ojeté pneumatiky, benzín, celý den v horku, abych se dozvěděl to, co mi kolega poradí pár větami, to se mi moc nezamlouvá. Také webové "dešifrátory" nemám moc v oblibě, je to někdy dost riskantní. Bohužel umím anglicky pouze "guten tag!", takže nevím, co to vlastně dešifruje, vidím pouze něco o heslu a mě šlo o celý configurační soubor.

to Honzam: to vypadá nadějně, RC bych tam nerad dával, čistě statistika: všechny bloklé stroje měly RC-éčko. Ale na to odhalení 2. partition je to OK, jen ten postup by chtělo trošku ozřejmit, zkusil to již někdo úspěšně?

Díky, mpcz, 6.6.2018

k3ny

Děkuji,

to K3NY, školení za pár tisíc, ojeté pneumatiky, benzín, celý den v horku, abych se dozvěděl to, co mi kolega poradí pár větami, to se mi moc nezamlouvá. Také webové "dešifrátory" nemám moc v oblibě, je to někdy dost riskantní. Bohužel umím anglicky pouze "guten tag!", takže nevím, co to vlastně dešifruje, vidím pouze něco o heslu a mě šlo o celý configurační soubor.

to Honzam: to vypadá nadějně, RC bych tam nerad dával, čistě statistika: všechny bloklé stroje měly RC-éčko. Ale na to odhalení 2. partition je to OK, jen ten postup by chtělo trošku ozřejmit, zkusil to již někdo úspěšně?

Díky, mpcz, 6.6.2018

na github je (urcite tam byval, jestli tam jeste je presne nevim) i zdrojak muzes si ho zkusit stahnout

dalibortoman

na github je (urcite tam byval, jestli tam jeste je presne nevim) i zdrojak muzes si ho zkusit stahnout

https://github.com/BigNerd95/RouterOS-Backup-Tools ?

btw k cemu je dobre misto /export compact pouzivat /system backup?

mpcz

Mějte prosím slitování s těmi méně chápavými. Úplně jsem se ztratil v té smršti informací. Zkusím zopakovat:

30.5. se objevil ve files soubor jb_20900_25468.backup. V té době tam nikdo určitě nebyl, to bych věděl. Cca o dva dny později byl RB zavirovaný. Soubor jsem si zezálohoval. Chtěl jsem vědět, co v něm je. Otázka zněla, zda existuje dekodér toho backupu do otevřené řeči, že by se z toho dalo (možná) usoudit na původce / záměr zdroje. Samozřejmě je možné, že soubor vytvořil sám SXT bez špatného úmyslu a je to tedy běžná činnost.

Další věc je dekodér / indikátor 2. partition. Podle odpovědi od Sergeje na té teorii o její existenci něco je. Jde tedy o ten indikátor druhé (skryté) partition a samozřejmě mě hned napadá i odhalovač obsahu, z čehož by možná(?) odborníci mohli vyčíst i záměry útočníka. A to by nebylo pro zefektivnění obrany k zahození. Dnes další dva stroje s přepsanou DNS, naštěstí se jedná stále o tytéž IP, 192.200.110.108 je 192-200-110-108.static.gorillaservers.com, takže je napadení na první pohled jasné. Nejhorší je, že tam v jednom případě byl 6.42.3 a jiné heslo.

Snad jsem to popsal srozumitelně. Děkuji, mpcz, 6.6.18

j4rek

Taky uz mi to prestava bavyt porad dns server na hlavni brane aj me to uz stve furt menit heslo a na druhy den zas nejede net

dalibortoman

pokud mate pripady napadeni, kde je na zarizeni novy (teoreticky opraveny) ROS i po zmene hesla, tak, prosim, sijte do <--- e -->support@mikrotik.com<--- e --> at Vam bud vysvetli, ze je chyba na Vasi strane ( napr.nejake zbytky infekce, kterou upgrade nebyl schopen zlikvidovat - ale i to by se dalo hodit na hlavu Mikrotikum) nebo at presvedci sami sebe, ze je potreba opravit dalsi diru.

U nas v siti se nic takoveho nedej (nebo jsem to dosud nezjistil), takze se nemuzu presvedcit na vlastni oci...

dalibortoman

Taky uz mi to prestava bavyt porad dns server na hlavni brane aj me to uz stve furt menit heslo a na druhy den zas nejede net

uz bych tam mel davno packet sniffer na vsechny sluzby (winbox, api, ssh, www apod), co jsou na tom boxu aktivni. Pokud by se podarilo zalogovat utok tak bud support MT presvedcis snadno o novem vektoru utoku nebo zjistis, ze jsi neco zanedbal.

mpcz

Ano, technicky naprosto správně (jen to umět). Přesto:

Sergej mi psal: nahrát novou verzi, změnit heslo. Stejně se to stalo. Podle mě se má ON starat o všechny varianty a zabudovat ochranu do nové verze. Na to má tým lidí a prakticky neomezené finance, čas a co hlavně - přístup ke zdrojům ROS. Zdá se mi, že nás popasoval na pokusné králíky a co nejhorší, někteří to začínají přijímat. mpcz, 6.6.2018

honzam

Někteří to nezažili, takže není co reportovat. Vám kterým se to děje, tak jak zde bylo popsáno snifujte, logujte a vše zkoumejte. Výsledky zkoumání zasílejte na <--- e -->support@mikrotik.com<--- e -->

whef

Zatím nic takového opravdu nepozoruji, teď dávám všude nové verze. Jen tak pro jistotu. Starší RB stejně nový sw nezvládnou.

k3ny

na github je (urcite tam byval, jestli tam jeste je presne nevim) i zdrojak muzes si ho zkusit stahnout

https://github.com/BigNerd95/RouterOS-Backup-Tools ?

btw k cemu je dobre misto /export compact pouzivat /system backup?

backup kopiruje vsechno vcetne mac address na ifce, heslo do MK atd.

rosak

A třeba i certifikáty atd..

dalibortoman

Ano, technicky naprosto správně (jen to umět). Přesto:

Sergej mi psal: nahrát novou verzi, změnit heslo. Stejně se to stalo. Podle mě se má ON starat o všechny varianty a zabudovat ochranu do nové verze. Na to má tým lidí a prakticky neomezené finance, čas a co hlavně - přístup ke zdrojům ROS. Zdá se mi, že nás popasoval na pokusné králíky a co nejhorší, někteří to začínají přijímat. mpcz, 6.6.2018

Sergej nema k dispozici Tvuj napadeny MT. O vsechny varianty se muze starat jen pokud, je uz videl nebo az do velikosti sve predstavivosti (a chuti implementovat neco, co muze byt jen marneni casem, protoze ve skutecnosti je problem jinde). Pokud se nepokusis sehnat presvedcive argumenty, nema MT co opravovat. Pokusnyma kralikama jsme vsichni, ale muzes byt uzitecnym pokusnym kralikem - pomuzes sobe i ostatnim - pokud budes ochoten supportu venovat nejaky cas a sesbirat pro ne tvrdsi data, ktera je presvedci, ze je tu problem, ktery je treba resit a privedou je i na zpusob reseni.

mpcz

Ano, to zní rozumně, jak přesně bych ten čas měl promarnit? Například: najdu zamklý RB, nelze se přihlásit, takže neudělám absolutně nic. Napsal jsem Sergejovi - odpověď: nezbývá než tvrdý reset. NIC jiného. Jak by měla vypadat ta užší spolupráce na vyšší úrovni?

Já bych to udělal takto (kdybych to uměl a měl ty informace a prostředky): nahodím na veřejky pár RB s upraveným ROS, který má zadní vrátka do systému. Počkám pár minut (dnů) až se zamkne, pak do něj vlezu a nastuduji, co ten vir dělá.

Během těch pár dnů sleduji tisíce útoků, které dělají v podstatě to samé a jasně musím vidět proces prolomení. Z toho vyplyne i systém obrany.

Dále by bylo dobré vyřešit ten problém při upgrade, kdy se některé nakažené stroje po upgrade na "bezpečnou" verzi dokolečka restartují a musí se tam jet osobně. A protože zatím nemáme "indikátor nakažení", tak je tu toto riziko i nadále. Mě stačily dva případy s velmi obtížným přístupem k zařízení a Sergejovi se muselo škytat. Kdyby aspoň poslal flašku Stoličné:. Ostatně, i kdyby jsme indikátor měli, jak provedeme upgrade na bezpečnou verzi?

Také bych si představoval soustředění aktuálních ověřených informací ohledně tohoto problému na jedno očekávané místo. Informace z nich lezou jak z chlupaté deky, něco je na fórech, něco je pravda, něco ne. Ne každý má čas pečlivě sledovat "What''''s new in 6.xx.x", nehledě na to, že kolikrát neví, co si pod tím zjednodušeným popisem má přesně představovat. mpcz, 7.jun.2018

mpcz

Ku tym aktualizaciam ktorym po update na verziu 6.42.xxx sa stale restartuje RB. Musite najprv napr z verzie 5.xx alebo 6.xx nahrat najprv 6.41.3 kde mate stary Bios verzie napr 3.32 a tak pod. po update uz na 6.41.3 ist do update routerboard a tam budete mat uz verziu BIOSu 6.41.3 upgradnut BIOS a po restarte budete mat BIOS v. 6.41.3 a potom smelo na 6.42.2 ci ako to je. Ja som si tak odpalil 3 RB ale netinstall pomohol.Takze zhrnutie nahrat 6.41.3 - update BIOS - restart - nahratie 6.42.xx

Toto už mě taky začíná vytáčet. Ti, kteří se tak vehementně zastávají verze, že se výrobce skoro nepřetrhne v pomoci zákazníkům, viděl někdo nějakou zmínku od výrobce ohledně tohoto problému? Popř., byl by problém do nového "bezpečného" SW vložit kontrolu, která mě upozorní na nevhodnou kombinaci verzí při upgrade, která vede k restartům nebo reset defaultu - následně projížďka? Nic jsem zatím neviděl.

Tuto část firmy jsem se snažil konstruovat a organizovat tak, že mi doposud zabrala jednotky procent mého času a nyní nedělám nic jiného než upgraduji, netinstaluji, jezdím na místo upgradovat, netinstalovat atd. atd. mpcz, 8.jun.2018

« Předchozí stránka Další stránka »