MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

basty

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

V tom případě se nedá moc jak bránit.

myghael

jaká je šance že máš nakaženej počítač a automaticky to tam nahraje?

To mě samozřejmě napadlo taky, proto jsem ten pokusný board nahrával z nové čisté instalace Ubuntu, pro jistotu dokonce mimo svou síť. Každopádně i po projetí několika různými softwary jsem ve svém linuxovém desktopu žádný virus, trojana ani nic podobného nenašel. Každopádně bych to v tom případě měl v mikroticích na domácí síti, a ty napadeny nebyly, včetně hlavního routeru, který má veřejné adresy hned dvě.

V tom případě se nedá moc jak bránit.

Dá, kromě dobrého firewallu je zapotřebí také nemít login "admin" a v /ip services mít všechno vypnuto, nebo omezeno na přístup jen z vnitřní sítě. Na výše zmíněném hlavním domácím routeru s dvojicí veřejných k nákaze nedošlo, mám tam ale povolen jen telnet, ssh a winbox a to ještě jen z rozsahů domácí sítě (+ ve firewallu ochranu proti spoofingu), ostatně na vzdálenou správu je tu VPN (byť nutnost ji vytáčet není moc pohodlná). I ta nešťastná M33G po netinstallu a aplikaci těchto pravidel v pohodě odolává bez ohledu na aktuální verzi firmwaru.

basty

Já jsem změnil porty pro winbox a ssh a taky to drží.

myghael

Některé botnety skenují různé porty, tuhle se někdo snažil nalámat do SSH serverů s porty 488, 1302 nebo 33404. Změna výchozích portů je určitě ku prospěchu, ale je to pouze doplňkové opatření.

mpcz

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

Tak toto se mi moc nezdá. Sice tomu nic moc nerozumím, ale selský rozum mi říká, že to by musela situace na sítích vypadat o dost jinak. Kromě toho, pokud by nákaza probíhala tak rychle, tak by nemohl být problém komunikaci odchytit a zjistit, o co jde a jak to virus dělá a z toho vyrobit účinnější ochranu. Jen přehození portu na winboxu musí udělat útočníkovi vrásky na čele. Scanování portů po jednom je pravděpodobně hodně práce a času a dá se na to lehce přijít. Změna portu je dle mého jedno z nejjednodušších řešení a docela účinné, dokonce bych se přimlouval pro možnost to ve winboxu nastavit implicitně. Kromě toho i v logu by musela zůstat nějaká stopa, či IP adresa (třeba i falešná) odkud to přišlo. mpcz, 30.6.2018

hapi

no tak počkat, psal si že defaultní firewall od mk to prorazilo. Teď nevim jak vypadá ale předpokládám že drop všechno z venku takže co je lepší firewall než drop všeho z venku?

hapi

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

Tak toto se mi moc nezdá. Sice tomu nic moc nerozumím, ale selský rozum mi říká, že to by musela situace na sítích vypadat o dost jinak. Kromě toho, pokud by nákaza probíhala tak rychle, tak by nemohl být problém komunikaci odchytit a zjistit, o co jde a jak to virus dělá a z toho vyrobit účinnější ochranu. Jen přehození portu na winboxu musí udělat útočníkovi vrásky na čele. Scanování portů po jednom je pravděpodobně hodně práce a času a dá se na to lehce přijít. Kromě toho i v logu by musela zůstat nějaká stopa, či IP adresa (třeba i falešná) odkud to přišlo. mpcz, 30.6.2018

hraju si tu s explodem na zjištění hesla a v logu nezůstane nic ale heslo mám. Z nějakýho důvodu z testovací 6.40.4 heslo dostanu ale z 250 dnů běžící na x86 ne.

basty

Právě proto je tedy hodně divný že když všechno zakazu, tak se to tam vubec dostane a tak rychle. To musí prostě být jiná cesta do toho mimo firewall.

myghael

Zase tolik jsem si s tím nehrál, šlo mi jen o nalezení účinného protiopatření, jen firewall nestačí.

no tak počkat, psal si že defaultní firewall od mk to prorazilo. Teď nevim jak vypadá ale předpokládám že drop všechno z venku takže co je lepší firewall než drop všeho z venku?

Drop všeho z venku, ale k tomu disablovat nepoužívané services a ty používané omezit na vlastní rozsahy. Spolu s tím uživatelským jménem a heslem, případně i změnou portů už by to mohla být spolehlivá ochrana, jelikož žádné zařízení s tímto vším infikováno nebylo bez ohledu na instalovanou verzi RouterOS, kdy v těch nových kam až vím "akorát" zalátali nějaké zranitelnosti webového rozhraní. Jen ten samotný firewall zjevně nestačil.

Změna portu je dle mého jedno z nejjednodušších řešení a docela účinné, dokonce bych se přimlouval pro možnost to ve winboxu nastavit implicitně. Kromě toho i v logu by musela zůstat nějaká stopa, či IP adresa (třeba i falešná) odkud to přišlo. mpcz, 30.6.2018

V logu kupodivu nic, kromě standardních skenů a jejich neúspěšných pokusů o přihlášení. Porty lze měnit ve winboxu již nyní, pokud chceš ochránit větší množství zařízení, není to problém přidat do nějaké "výchozí konfigurace" k věcem typu nastavení SNMP, MGMT VLAN, NTP klienta nebo připojení syslog serveru, případně do příkazů pro skript prolézající celou síť. Dávat nějaké náhodné porty už ve výchozí konfiguraci bych rozhodně nedoporučoval. RouterOS není pro amatéry, takže zabezpečení je věcí každého admina. Ve výchozím stavu by tak měl být co nejsnáze dostupný, nestandardní porty si přeci nastavím tou výchozí konfigurací. Pokud tedy nepíšete ručně do všeho i ty věci, které jsou všude stejné, ale to je na facku i u větší domácí sítě, ne tak u sítě ISP.

mpcz

hraju si tu s explodem na zjištění hesla a v logu nezůstane nic ale heslo mám. Z nějakýho důvodu z testovací 6.40.4 heslo dostanu ale z 250 dnů běžící na x86 ne.

Hapi má pravdu. Bohužel průnik a získání hesla nenechá v logu žádnou stopu (ověřeno). Jako by se nic nedělo. Dle mého průnik začne na portu 80, udělá pár pokusů, stáhne data, rozšifruje heslo a je to hotové. Pokud zakážete port 80, útok se nezdaří. (Samozřejmě verzí a modifikací může být více). Co udělá pak a především, jestli to nechá stopu v logu se mi nepodařilo zatím zjistit, ten linux s těmi věčnými balíčky a doinstalacemi mě dost psychicky ničí, necháme to guruům linuxu.

Zajímavé by bylo, zkusit se nabourat do nakaženého a zamklého mikrotiku, jestli to jde. Někdo by si ušetřil výjezd(y). Zrovna upozorňuji, že se takový nesmí odpojit od napájení, jinak se upgraduje na novou verzi a už to nepůjde určitě. mpcz, 30.6.2018

torch_útok.jpg

myghael

Ve všech případech nám zatím přístup zůstal, takže vyjíždět jen kvůli nákaze zatím nebylo nutno.

OT: Jak souvisí balíčky nějaké linuxové distribuce (na které nemusíš být guru, spíše v tom hledej obtížnost naučit se něco jiného, co ti zřejmě jinak k užitku není) s logy mikrotiku? Ano, ve windowsím notepadu se čtou blbě, na to pomáhá nějaký pokročilejší editor, například volně šiřitelný PSPad.

mpcz

No gratuluji. Představ si, že existuje spousta lidí, jen co znám, kteří zamklý mikrotik zažili a ne jednou. Ti mají pravděpodobně jiný názor. Zvláště jeden pražák, který jel na Moravu záležitost řešit osobně.

Dnes se mi dostal na stůl nakažený mikrotik 711 s verzí 6.35, který evidentně chrlil do WANu nákazu. Po projítí všeho možného jsem nenašel nic, co by to způsobovalo. Stáhl jsem backup i export, ale nic tam na první pohled laika vidět není. Teď čekám, co to udělá po upgrade na "bezpečnou" verzi. Má někdo nějakou ideu, co hledat? Než to upgraduji. Dík, mpcz, 30.6.2018

hapi

hraju si tu s explodem na zjištění hesla a v logu nezůstane nic ale heslo mám. Z nějakýho důvodu z testovací 6.40.4 heslo dostanu ale z 250 dnů běžící na x86 ne.

torch_útok.jpg

ale ne, studuju to dneska co se dá a těch útoků je několik. Jeden napadá web, ten údajně opravily, druhej napadá winbox, ten údajně opravili. Stačí mít dostupnej winbox a už to jede.

Co máš s linuxem? spust si ve virtuálu nebo live ubuntu server nebo desktop a všechno je připravený. Teoreticky můžeš použít i linux ve win10 a mělo by to fungovat stejně.

hapi

No gratuluji. Představ si, že existuje spousta lidí, jen co znám, kteří zamklý mikrotik zažili a ne jednou. Ti mají pravděpodobně jiný názor. Zvláště jeden pražák, který jel na Moravu záležitost řešit osobně.

Dnes se mi dostal na stůl nakažený mikrotik 711 s verzí 6.35, který evidentně chrlil do WANu nákazu. Po projítí všeho možného jsem nenašel nic, co by to způsobovalo. Stáhl jsem backup i export, ale nic tam na první pohled laika vidět není. Teď čekám, co to udělá po upgrade na "bezpečnou" verzi. Má někdo nějakou ideu, co hledat? Než to upgraduji. Dík, mpcz, 30.6.2018

existuje dekoder backupu a teď nemyslim ten od mikrotiku ale jinej kterej dekoduje víc informací z backupu.

magic

Možná to někomu pomůže a tak přidávám naší zkušenost.

Jsme sice malá síť do 1000 jednotek, ale vše je postavené na MK. K dnešnímu dni žádná nakažená jednotka, alespoň tomu nic nenasvědčuje, vzhledem k popisovaným případům tady.

Všechny klientské jednotky mají povolen v service port 8080(změněný web), 8291(winbox) a 22(ssh). Historicky máme nastaven u všech jednotek povolení jen z jedné IP adresy LAN (která není v rozsahu DHCP klienta) a pro adminy VPN ip rozsah + DUDE. Všechno ostatní je pro input REJECT.

Na drtivé většině byla verze mezi 6.33.5 a 6.36.4 a to i na těch, které mají veřejné IP adresy (cca 40).

Před pár týdny jsem měl i já tu čest vidět napadený MK. Napadený MK (RB951) byl vlastní od klienta, který ho měl za naší jednotkou. Upozornil nás na něj náš poskytovatel ČRa.

Přes torch (naší klientské jednotky) jsem viděl, že se napadený RB snaží připojit portem 8291 všude možně (stovky spojení). Hlavně na veřejné IP adresy v internetu. Bohužel jsem si neudělal screen, ale mám dojem, že tam mezi nimi byl i port 22, ale nejsem si jistý.

Můj závěr je, že hlavní ochrana je firewall a ikdyž jednotka nebyla upgradovaná na poslední verzi, tak napadený RB nebyl schopen nakazit jednotku před ní a ani MK v síti.

Po tomto incidentu je nyní cca 98% MK v síti na verzi 6.42.4 a 6.42.3. Ale byla to fuška.

P.S. K dnešnímu dni není na hlavním routeru vidět jakákoliv komunikace 8291 ven ze sítě. Pouze útoky dovnitř na veřejné IP adresy našich klientů.

Ani žádný problém s přístupem na jednotky při upgradu (žádné změněné heslo, několik restartů)

hapi

napsal sem si multi threadovou funkci pro spouštění několik WinboxExploit (100 vláken) a poslal to na konkurenční sítě s asi tak 24 Cčkami, za minutu bylo hotovo. Co sem zjistil nechtějte vědět :-D

mpcz

No gratuluji. Představ si, že existuje spousta lidí, jen co znám, kteří zamklý mikrotik zažili a ne jednou. Ti mají pravděpodobně jiný názor. Zvláště jeden pražák, který jel na Moravu záležitost řešit osobně.

Dnes se mi dostal na stůl nakažený mikrotik 711 s verzí 6.35, který evidentně chrlil do WANu nákazu. Po projítí všeho možného jsem nenašel nic, co by to způsobovalo. Stáhl jsem backup i export, ale nic tam na první pohled laika vidět není. Teď čekám, co to udělá po upgrade na "bezpečnou" verzi. Má někdo nějakou ideu, co hledat? Než to upgraduji. Dík, mpcz, 30.6.2018

existuje dekoder backupu a teď nemyslim ten od mikrotiku ale jinej kterej dekoduje víc informací z backupu.

Kde se dá získat? Děkuji, mpcz, 30.6.2018

mpcz

napsal sem si multi threadovou funkci pro spouštění několik WinboxExploit (100 vláken) a poslal to na konkurenční sítě s asi tak 24 Cčkami, za minutu bylo hotovo. Co sem zjistil nechtějte vědět :-D

Jen opatrně, v některých státech je podobná činnost oceněna jako těžký zločin s taxou až 30 let žaláře ... mpcz, 30.6.2018

selic

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

Někde od verze 6.40 je v default firewallu v pravidle na input i forwardu zaškrtnuto navíc v connection state established a related nově untracked. Jinou díru jsem nenašel.

hapi

https://github.com/BigNerd95/RouterOS-Backup-Tools

https://github.com/BigNerd95/WinboxExploit

https://github.com/0ki/mikrotik-tools

https://github.com/BasuCert/WinboxPoC

všechno už je v tomhle vlákně.

« Předchozí stránka Další stránka »