Výpadek hkfree

beny-dka · Příspěvekod **beny-dka** » 7 years ago

Zdravím nevíte někdo co bylo příčinou zda jejich chyba nebo ňáká díra v MIKROTIKU ?
https://www.facebook.com/hkfree/posts/10158035069043508

thouzvicka · Příspěvekod **thouzvicka** » 7 years ago

Mě by zajímalo, jak se ten script do těch routerů dostal. Kdyby to někdo věděl, tak prosím SZ nebo tady veřejně.
Nechci riskovat napadení naší sítě.

beny-dka · Příspěvekod **beny-dka** » 7 years ago

To mne právě taky zajímá diky za info

basty · Příspěvekod **basty** » 7 years ago

Vím že měli hodně nové verze a dost silné zabezpečení a stejně nic.

ludvik · Příspěvekod **ludvik** » 7 years ago

Pokud zatím platí:
a) napadené routery (resp. tedy vlastně switche) neměly IP konektivitu a měly i změněné porty api/ssh/winbox
b) některé měly hesla tzv. brutální a nikde neevidované
c) nákaza neprošla čistými linux routery.

tak:
1. možná byla objevena chyba v mac-serveru (nebo v RoMON, to nevím).
2. šlo o útok zhrzeného člena, co znal podmínku b)
3. kombinace obého ...

Přijde mi divné, že by "to" přišlo odněkud z internetu či zevnitř po IP (čili malware umí nakazit něco přes routovanou síť) a na prvním zařízení to změnilo chování a dokázalo nakazit jen věci bez IP adresy.
Divné také je, že pokud už někdo vymyslí malware, který zařízení vyřadí z provozu (a zamete po sobě stopy), proč to dělá tak složitě a disabluje rozhraní, místo toho aby prostě vymazal konfiguraci do defaultu.

Já si tipnu důvod 2.

Ale je to jen spekulace založená na několika střípcích informací.

V každém případě se hodí mít logy i jinde, než na zařízení samotném.

TTcko · Příspěvekod **TTcko** » 7 years ago

stalo se nám něco podobného, stačí jediný ROS uvniř, který nemá aktualizovanou verzi.. naštěstí jsme na to přišli hned a kluky z .RU odstřihli, ale i tak lehlo cca 80 mikrotiků, zachránilo nás jen to, ze to ten borec dělal ručně.

thanui.linux · Příspěvekod **thanui.linux** » 7 years ago

Viděl jsem klienta HKFree s veřejkou. Ani náznak firewallu. A zastaralá verze ROS. To asi spíš byla otázka času.

Myghael · Příspěvekod **Myghael** » 7 years ago

Tak víš co, naklikáš maškarádu a ono to funguje...

kadlcikales · Příspěvekod **kadlcikales** » 7 years ago

No já si stejně myslím že spíše někomu ruplo v bedně a poslal scrypt a bylo, zajímá mě to a pokud o tom někdo může napsat víc (jestli se náhodou nejedná o další nějaké bez. chyby) tak tak prosím také SZ ať si mohu taky zabezpečit MK

ludvik · Příspěvekod **ludvik** » 7 years ago

Je to člen spolku, je to jeho zařízení, jeho starost. V tomto případě bohužel.

Větší sranda je, když to člověk vidí u klienta středně velkého komerčního ISP.

ludvik · Příspěvekod **ludvik** » 7 years ago

Moc se nemyslí na mac-server ... jenže bez něj je to tak nějak u mikrotiku otrava. Zrovna na něj by se hodilo použít port-knocking. Jenže u mikrotiků nechtějí slyšet na to ho zabudovat do Winboxu.

kadlcikales píše:... ať si mohu taky zabezpečit MK

kadlcikales · Příspěvekod **kadlcikales** » 7 years ago

ludvik píše:Moc se nemyslí na mac-server ... jenže bez něj je to tak nějak u mikrotiku otrava. Zrovna na něj by se hodilo použít port-knocking. Jenže u mikrotiků nechtějí slyšet na to ho zabudovat do Winboxu.
kadlcikales píše:... ať si mohu taky zabezpečit MK

je taky blbost si tunelovat L2 všude (on ten mikrotik Neighbor discovery ani pomalu jinak neumí viz default konfigurace kde je to dynamicky) , bylo by lepší alespoň Neighbor discovery vypínat na nepotřebných rozhraních třeba /ip neighbor discovery set ether1 discover=no (nejsem si jistý jestli ještě funguje)

Robotvor · Příspěvekod **Robotvor** » 7 years ago

Na tom facebooku píšou o stovkách zařízení, jak se jim to tam teda dostalo když měli poslední verzi kde by mělo být již vše vyřešeno ?

ludvik · Příspěvekod **ludvik** » 7 years ago

Vyřešení po nalezení problému chvilku trvá. Např. https://www.tenable.com/security/research/tra-2018-21 Pravděpodobnost neopravené chyby je vždy vyšší, než nula.
Ale fakt si myslím, že to byl ruční zásah "někoho".

Dr.Easy · Příspěvekod **Dr.Easy** » 7 years ago

Ahoj,...

Hesla
-mysleli jsme že to jsou hesla, která se mohou v siti objevovat častěji a je možné je lépe uhádnout, pak jsme zjišťovali, zda nedošlo k vynesení dat z DB a když jsme našli napadene mikrotiky které měly heslo ve smyslu :"5865=+lo#gi?n!!" a nebyly nikde evidovány....

Tak nám došlo, že takhle to asi nebylo...

Navíc Po posledním exploitu jsme na všech 7000 zařízeních hromadné měnili hesla, podle nových parametru, aby se nikde v síti hesla neobjevila vícekrát.

90% routeru měla nejnovější RouterOS a byla napadnuta.

V scheduleru jsme našli dva triviální Scripty. Kde se tam vzaly, nevíme. Jak se rozšířili na tisíce zařízení, nevíme...Po posledním exploitu jsme scheduler a scripts kontrolovali, aktualizoval firmware a routeros na nejnovější verze.

Nikde na pateri nebyla starší verze jak měsíc. Většina měla aktuální...

Někde byl ten srac víc aktivní a znemožnil upgrade routeros na vyšší verzi. Přišli jsme na to, jak to obejít, ale je to 30min. Oser.

classic.ISPforum.cz

Výpadek hkfree

Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree

Re: Výpadek hkfree