Výpadek hkfree

[radik]

Jen tak mimo, furt resite, ze nekdo napadl mikrotik, ale je to porad dokola. I kdyz by tam stale nejaka chyba byla, tak stale jsou to zarizeni co nemaji firewall a jsou tedy dostupny. Proc si neudelate firewall a je vyreseno naporad i s budouci chybou.

[Myghael]

Nastavení firewallu je základ - i děravý mikrotik s dobrým firewallem je mnohem bezpečnější než poslední záplatovaná verze bez firewallu. I dnes bez problémů provozuji pár routerboardů z různých důvodů se starými verzemi, s veřejkou přímo na rozhraní, a k průniku i přes časté pokusy nedošlo.

[Dr.Easy]

já nevím, proč si myslíte, že jsme úplný kreténi.

samozřejmě, že je vše za firewallem.

ale výpis z firewallu se mi sem dávat zrovna nechce. Nicméně taková ta klasika jako změněné porty, zakázaný web přístup, ssh drop listy, drop connections z jinych nez z povolenych siti, apod.
všechno je.

např. na svém routeru mám možnost přistupovat pouze z jednoho jediného rozsahu a stejně to ods*al...
hesla jsou kombinace čísel, písmen, znaků...

nemyslím si, že bylo cokoliv podceněno.

[radik]

Tak pak muzes mit chybu ve firewallu treba. Menit porty je zhovadilost a stejne to jde dohledat i tak. Pokud mas povoleny pristup z cele site, tak to je taky prakticky k nicemu.

[okoun]

no a máte ty firewally na všech CPE aby to chránilo útoky i z lankhy? nebo máte centrailozované řešení s VPLS a separovanejma CPE a tedy tam stačí jeden velký firewall?

[ludvik]

Co mac-server? Nebo RoMON?

samozřejmě, že je vše za firewallem.
...
např. na svém routeru mám možnost přistupovat pouze z jednoho jediného rozsahu a stejně to ods*al...

[Irik1111]

K té verzi ROS. Na sektoru, kde jsem připojený já přes HKFree byla "nejnovější" verze 6.40.5, většina 6.3x, nekteré 5.x. Takže ROS v poslední verzi možná někde na páteřích, ale rozhodně ne na zařízeních v síti a APčkách. Mám tam i veřejku, v době útoku jsem měl 6.42.6 a v logu nic, kromě několika pokusů o login přes port 80.

[menicks]

K té verzi ROS. Na sektoru, kde jsem připojený já přes HKFree byla "nejnovější" verze 6.40.5, většina 6.3x, nekteré 5.x. Takže ROS v poslední verzi možná někde na páteřích, ale rozhodně ne na zařízeních v síti a APčkách. Mám tam i veřejku, v době útoku jsem měl 6.42.6 a v logu nic, kromě několika pokusů o login přes port 80.

Jediná "neděravá" verze je 6.42.7 nebo 6.40.9 ale tot otázka jestli je opravdu neděravá Ale ve 90% případů nedochází k průnikům přes nejnovější trhliny, spíše starší bugy.

[Dr.Easy]

jak tak zjistujem, tak s tim mel co docineni ten posledni exploit.
tudiz, kdo jste ho v siti mel a resil jste jeho nasledky, tak si dejte pozor.. nic vic k tomu asi uz neni potreba co rikat...

[Dalibor Toman]

jak tak zjistujem, tak s tim mel co docineni ten posledni exploit.
tudiz, kdo jste ho v siti mel a resil jste jeho nasledky, tak si dejte pozor.. nic vic k tomu asi uz neni potreba co rikat...

posledni exploit je co? At mame jasno o cem se bavime. Posledni chyby ve WWW a spol by snad mely vest jen k zatuhnuti stroje?
Pokud mas na mysli winbox/mac-winbox exploit, tak by bylo dobre vyjasnit informace o verzich ROSu, protoze obecne vsichni verime, ze 6.40.8+ a 6.42.1+ jsou z tohoto pohledu bezpecne.

[rsaf]

Tak podle mě se nikdy nepotvrdilo ani nevyvrátilo, že minimálně některý z červů se nezabydlel hlouběji a teoreticky nepřežije upgrade (netinstlall je snad stále safe).

Ale kdo ví jak to bylo s aktualizacema, nastavením firewallů... Jedna věc je co se prezentuje směrem ven, druhá je realita.

[Dr.Easy]

jak tak zjistujem, tak s tim mel co docineni ten posledni exploit.
tudiz, kdo jste ho v siti mel a resil jste jeho nasledky, tak si dejte pozor.. nic vic k tomu asi uz neni potreba co rikat...

posledni exploit je co? At mame jasno o cem se bavime. Posledni chyby ve WWW a spol by snad mely vest jen k zatuhnuti stroje?
Pokud mas na mysli winbox/mac-winbox exploit, tak by bylo dobre vyjasnit informace o verzich ROSu, protoze obecne vsichni verime, ze 6.40.8+ a 6.42.1+ jsou z tohoto pohledu bezpecne.

a nebylo to nahodou fixnute az v 6.42.7?

!) security - fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;

[honzam]

Ten poslední problém je problém www. Nic vážného, v podstatě to napadá pouze webfig. Navíc www jste měli zakázané ne? Takže tohle vás napadnout a ohrozit nemohlo:
https://blog.mikrotik.com/security/secu ... nable.html

[Dalibor Toman]

jak tak zjistujem, tak s tim mel co docineni ten posledni exploit.
tudiz, kdo jste ho v siti mel a resil jste jeho nasledky, tak si dejte pozor.. nic vic k tomu asi uz neni potreba co rikat...

posledni exploit je co? At mame jasno o cem se bavime. Posledni chyby ve WWW a spol by snad mely vest jen k zatuhnuti stroje?
Pokud mas na mysli winbox/mac-winbox exploit, tak by bylo dobre vyjasnit informace o verzich ROSu, protoze obecne vsichni verime, ze 6.40.8+ a 6.42.1+ jsou z tohoto pohledu bezpecne.

a nebylo to nahodou fixnute az v 6.42.7?

!) security - fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;

mate snad v siti na MT povoleny WWW service? To prvni CVE ma umoznit buffer overflow, takze teoreticky muze vest k proboreni dovnitr. Mozna i to posledni CVE...
Vsechny ty chyby je ale mozne vyvolat jen pokud utocnik zna jmeno a heslo.

https://www.tenable.com/security/research/tra-2018-21
docela zklamani, je pohled na 'Disclosure time line' - mikrotik vedel o problemu od 25.kvetna

[Dr.Easy]

problém reportován mikrotiku. Podle všeho na svědomí mohou to mohou mít routerboardy, které mají disablovaného uživatele admin.

pokud je disablovaný, je tam šance, že se skrz admin heslo do mikrotiku lze dostat.

- vše ve stádiu zjišťování, ale vypadá to na další díru v RouterOS.

bohužel, to jak teď vyhořeli jim na pracovní morálce a rychlosti moc nepřidává.