classic.ISPforum.cz

Zdravím nevíte někdo co bylo příčinou zda jejich chyba nebo ňáká díra v MIKROTIKU ?
https://www.facebook.com/hkfree/posts/10158035069043508

Mě by zajímalo, jak se ten script do těch routerů dostal. Kdyby to někdo věděl, tak prosím SZ nebo tady veřejně.
Nechci riskovat napadení naší sítě.

To mne právě taky zajímá diky za info

Vím že měli hodně nové verze a dost silné zabezpečení a stejně nic.

Pokud zatím platí:
a) napadené routery (resp. tedy vlastně switche) neměly IP konektivitu a měly i změněné porty api/ssh/winbox
b) některé měly hesla tzv. brutální a nikde neevidované
c) nákaza neprošla čistými linux routery.

tak:
1. možná byla objevena chyba v mac-serveru (nebo v RoMON, to nevím).
2. šlo o útok zhrzeného člena, co znal podmínku b)
3. kombinace obého ...

Přijde mi divné, že by "to" přišlo odněkud z internetu či zevnitř po IP (čili malware umí nakazit něco přes routovanou síť) a na prvním zařízení to změnilo chování a dokázalo nakazit jen věci bez IP adresy.
Divné také je, že pokud už někdo vymyslí malware, který zařízení vyřadí z provozu (a zamete po sobě stopy), proč to dělá tak složitě a disabluje rozhraní, místo toho aby prostě vymazal konfiguraci do defaultu.

Já si tipnu důvod 2.

Ale je to jen spekulace založená na několika střípcích informací.

V každém případě se hodí mít logy i jinde, než na zařízení samotném.

stalo se nám něco podobného, stačí jediný ROS uvniř, který nemá aktualizovanou verzi.. naštěstí jsme na to přišli hned a kluky z .RU odstřihli, ale i tak lehlo cca 80 mikrotiků, zachránilo nás jen to, ze to ten borec dělal ručně.

Viděl jsem klienta HKFree s veřejkou. Ani náznak firewallu. A zastaralá verze ROS. To asi spíš byla otázka času.

Tak víš co, naklikáš maškarádu a ono to funguje...

No já si stejně myslím že spíše někomu ruplo v bedně a poslal scrypt a bylo, zajímá mě to a pokud o tom někdo může napsat víc (jestli se náhodou nejedná o další nějaké bez. chyby) tak tak prosím také SZ ať si mohu taky zabezpečit MK

Je to člen spolku, je to jeho zařízení, jeho starost. V tomto případě bohužel.

Větší sranda je, když to člověk vidí u klienta středně velkého komerčního ISP.

Moc se nemyslí na mac-server ... jenže bez něj je to tak nějak u mikrotiku otrava. Zrovna na něj by se hodilo použít port-knocking. Jenže u mikrotiků nechtějí slyšet na to ho zabudovat do Winboxu.

kadlcikales píše:... ať si mohu taky zabezpečit MK

ludvik píše:Moc se nemyslí na mac-server ... jenže bez něj je to tak nějak u mikrotiku otrava. Zrovna na něj by se hodilo použít port-knocking. Jenže u mikrotiků nechtějí slyšet na to ho zabudovat do Winboxu.

kadlcikales píše:... ať si mohu taky zabezpečit MK

je taky blbost si tunelovat L2 všude (on ten mikrotik Neighbor discovery ani pomalu jinak neumí viz default konfigurace kde je to dynamicky) , bylo by lepší alespoň Neighbor discovery vypínat na nepotřebných rozhraních třeba /ip neighbor discovery set ether1 discover=no (nejsem si jistý jestli ještě funguje)

Na tom facebooku píšou o stovkách zařízení, jak se jim to tam teda dostalo když měli poslední verzi kde by mělo být již vše vyřešeno ?

Vyřešení po nalezení problému chvilku trvá. Např. https://www.tenable.com/security/research/tra-2018-21 Pravděpodobnost neopravené chyby je vždy vyšší, než nula.
Ale fakt si myslím, že to byl ruční zásah "někoho".

Ahoj,...

Hesla
-mysleli jsme že to jsou hesla, která se mohou v siti objevovat častěji a je možné je lépe uhádnout, pak jsme zjišťovali, zda nedošlo k vynesení dat z DB a když jsme našli napadene mikrotiky které měly heslo ve smyslu :"5865=+lo#gi?n!!" a nebyly nikde evidovány....

Tak nám došlo, že takhle to asi nebylo...

Navíc Po posledním exploitu jsme na všech 7000 zařízeních hromadné měnili hesla, podle nových parametru, aby se nikde v síti hesla neobjevila vícekrát.

90% routeru měla nejnovější RouterOS a byla napadnuta.

V scheduleru jsme našli dva triviální Scripty. Kde se tam vzaly, nevíme. Jak se rozšířili na tisíce zařízení, nevíme...Po posledním exploitu jsme scheduler a scripts kontrolovali, aktualizoval firmware a routeros na nejnovější verze.

Nikde na pateri nebyla starší verze jak měsíc. Většina měla aktuální...

Někde byl ten srac víc aktivní a znemožnil upgrade routeros na vyšší verzi. Přišli jsme na to, jak to obejít, ale je to 30min. Oser.