Upozornění na botneta napadajícího ROS <6.38.4

[mrazek609]

Jen velké množství pokusů vždy po cca 30-ti minutách, ale do routeru se nedostali. Viděl jsem to poprvé včera.

[Grul]

moc nerozumím, co se tu přesně řeší s tím co je a není napadnutelné, když píšou menší ros jak 6.38.4.
Normis na MK foru jasně píše:
affected:
- Webfig with standard port 80 and no firewall rules
- Winbox has nothing to do with the vulnerability, Winbox port is only used by the scanners to identify MikroTik brand devices. Then it proceeds to exploit WEBFIG through port 80.

takže dle těchto slov by mělo úplně stačit vypnout webfig, protože přes ten to napadají, ostatní porty a služby na MK slouží jen k nalezení zařízení.
Ověřovat zda je napadnutelná i třeba 5.26, předpokládám že ano když má webfig, tak se k tomu i stavím.

[hapi]

výbornej přístup

tady jsou detaily který by měl pochopit i mpcz
https://forum.mikrotik.com/viewtopic.php?f=21&t=132499

[mpcz]

Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018

[iTomB]

Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018

Nauc se anglicky, nebo si to preloz ... je to tam polopate napsane

[neverhappy]

Zdravim
Prehraval jsem klientske jednotky na verzi 6.40.6 a u rb711 sel ping do zavratnych vysek. Po nahrati na 6.38.7 ok. viz obrazek
U disc, lhg sxt atd vse ok.
Takze ne vsechny odladene verze jsou funkcni pro vsechny jednotky. Uznavam ze rb711 je uz dedecek a postupne je menim.

6.40.6 vs 6.38.7.PNG (80.37 KiB) Zobrazeno 3413 x

[Dalibor Toman]

Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018

aby nedoslo k nakazeni staci mit zakazane v ipservices www a zrejme i www-ssl. Pripadne je firewallovat ale ze vsech stran takze je lepsi to vypnout - muze dojit k nakazeni z povolenych IPcek
zatim jsem nevidel zadny stary ROS nakazeny (5.X ci starsi). Ale u nas v siti nemame problem s nasimi MT ale vyhradne jen s temi co maji zakznici jako wifi router - protoze se na ne negeneruje cfg automatem a take nad nimi nemame kontrolu. Takze ten vzorek nemusi byt reprezentativni.
Takze zakazat www slervery a dalsi nepotrebne services a udelat firewall tak, aby se na ten MT dostal jen co nejmensi pocet IP

Jak se pozna nakaza?
- pokud je k dizpozici graf datoveho toku tak na malo zarizenych linkach je okamzite videt rovna cara odchoziho a mensiho prichoziho toku, ktery sken aktivita infekce zpusobuje
- slabsi desky maji CPU nekde u 100% (typicky hAP Lite)
- pokud je klid (nikdo pres MT nestahuje), tak ma deska datovy tok jen portem otocenym do netu. Sniffer na tom portu nebo Torch se zapnutym zobrazenim portu ukaze pokusy na pripojeni na 23 (telnet) 8291 (winbox) ci 7547 (TR-069). To je generovany s IPckem toho MT
- parkrat jsem videl na nakazanych skriptech v script/jobs bezet po 2 neznamych skriptech - ale na dalsich MT jsem nic takoveho nenasel.

a k desinfekci staci nahrat dostatecne novy ROS (pocinaje 6.38.5 stable, 6.37.5 bugfix), ktery smaze vse co nepatri k ROSu.

Btw: protoze zakaznici jsou plni hAP Litu a hEX Litu, ktere maji jen 16MB flash, narazil jsem na kusy, ktere nemely na flashce prakticky nic viditelneho a presto bylo volne misto jen 4MB - vypadalo to jako by ten vir sezral dost mista na flashce (z skryne casti). Nahrat tam ROS scpckem neslo. Ale kdyz jsem spustil çheck for update z system packages,tak se to podarilo nahrat a dokonce po rebootu i upgradovat. Cili nekde hapruje pocitani volneho mista = neni treba se hned vzdat a myslet na lokalne provedeny netinstall

[Selič]

Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018

Zakázat v services www a telnet a pokud možno zakázat i ve firewallu. Několik kusů s 5.26 a 6.32, co dožívají na veřejkách přežívají bez nákazy.

[hapi]

Zdravim
Prehraval jsem klientske jednotky na verzi 6.40.6 a u rb711 sel ping do zavratnych vysek. Po nahrati na 6.38.7 ok. viz obrazek
U disc, lhg sxt atd vse ok.
Takze ne vsechny odladene verze jsou funkcni pro vsechny jednotky. Uznavam ze rb711 je uz dedecek a postupne je menim. 6.40.6 vs 6.38.7.PNG

máme i první RB711 a tohle tam neni a to jedem na 6.41.3 takže nějakej tvůj lokální problém.

[rsaf]

Každopádně Mikrotiku chybí nějaká LTS verze, kde by se dělaly jen bezpečnostní updaty a bylo by jasně dáno, že budou vydávány třeba po dobu 3 let...

[hapi]

nevím kdo by v tomto segmentu měl něco podobnýho. Proč by to dělaly?

[rsaf]

Kdo konkrétně je v "segmentu" s ROS? Já si myslím, že to je segment sám pro sebe. V segmentu routingu si myslím, že toto mají úplně všichni.

Absence takové verze prakticky brání nasazení třeba do rozumně provozovaného podnikového prostředí, kde existuje nějaká politika testování nových verzí před nasazením. Mám mnoho míst, kde se Mikrotik/ROS nasadil pro své rozsáhlé funkce v malé, levné, nežravé krabičce (ospf, shaping, VPN, IPSEC, router s LTE kartou, metarouter, remote RS232, remote RS232 s 3G kartou pro komunikaci v průmyslu...). Instalace se odladily a fungují k plné spokojenosti. Jakákoliv změna funkcionality je zbytečná až nežádoucí, na druhou stranu IT politika ukládá udržovat ty věci minimálně na "verzích bez známých kritických bezpečnostních chyb".
Mám přehrát zařízení, které dělá switch pro nějakou průmyslovou technologii, zajišťuje vzdálený přístup po optice se zálohu přes LTE, běží tam IPSEC, OSPF a používá se remote RS232 na novější ROS kde došlo výměně LTE driverů, změně chování bridge/switche, zásahům do OSPF... a to jen proto, že je tam bezpečnostní chyba ve webserveru? Jak to mám rozumně otestovat, když nemám dostatek odvahy toto drze nalít do jednoho ze 4 takto řešených míst jakožto "test na ostrém prostředí"? Když se odhodlám, jak případné následné problémy na něčem, co jinak několik let fungovalo budu vysvětlovat dispečerům, kteří najednou nemohou hýbat s ventilem na dusíkovodu 30km daleko?

[hapi]

super, použil si levnou věc na extrémně důležitou úlohu, tohle je samozřejmě naprosto v pořádku že

[honzam]

OK, to je jedna z věcí, které Sergej píše jasně. A co ty verze ROS v RB600 apod.? mpcz, 30.3.2018

Jakej v tom vidíš rozdíl? ROS jako ROS. Prostě od 6.38.5 je vše (ano vše) opravené. Prosím před dalšími dotazi si přečti toto, stačí první příspěvek:
https://forum.mikrotik.com/viewtopic.ph ... 99#p650812

[thomas_more]

Kdo konkrétně je v "segmentu" s ROS? Já si myslím, že to je segment sám pro sebe. V segmentu routingu si myslím, že toto mají úplně všichni.

Absence takové verze prakticky brání nasazení třeba do rozumně provozovaného podnikového prostředí, kde existuje nějaká politika testování nových verzí před nasazením. Mám mnoho míst, kde se Mikrotik/ROS nasadil pro své rozsáhlé funkce v malé, levné, nežravé krabičce (ospf, shaping, VPN, IPSEC, router s LTE kartou, metarouter, remote RS232, remote RS232 s 3G kartou pro komunikaci v průmyslu...). Instalace se odladily a fungují k plné spokojenosti. Jakákoliv změna funkcionality je zbytečná až nežádoucí, na druhou stranu IT politika ukládá udržovat ty věci minimálně na "verzích bez známých kritických bezpečnostních chyb".
Mám přehrát zařízení, které dělá switch pro nějakou průmyslovou technologii, zajišťuje vzdálený přístup po optice se zálohu přes LTE, běží tam IPSEC, OSPF a používá se remote RS232 na novější ROS kde došlo výměně LTE driverů, změně chování bridge/switche, zásahům do OSPF... a to jen proto, že je tam bezpečnostní chyba ve webserveru? Jak to mám rozumně otestovat, když nemám dostatek odvahy toto drze nalít do jednoho ze 4 takto řešených míst jakožto "test na ostrém prostředí"? Když se odhodlám, jak případné následné problémy na něčem, co jinak několik let fungovalo budu vysvětlovat dispečerům, kteří najednou nemohou hýbat s ventilem na dusíkovodu 30km daleko?

Myslim si, ze snazit se tady vysvetlovat duvody vyse uvedenym zpusobem je ve vetsine pripadu "hazeni perel svinim", kamarade. Az na par jedincu tady totiz vetsina mistniho osazenstva nema naprosto zadny zkusenosti s enterprise a carrier grade resenima a slovni spojeni jako "Corporate IT/network policy" maji za sprosty slova. A sebemensi poneti o tom, jak muzou byt nekde nastaveny procesy, pravidla a nebo pozadavky na spravu/udrzbu sw verzi bych tady taky moc nehledal. A kdyby zjistili, ze napriklad operatori pri nasazovani urcitych prvku do site tyhle downgradujou treba o 6 sw verzi zpatky proto, ze novy sw verze jeste nejsou schvaleny k ostrymu pouziti, urcite by to komentovali nejakou velice chytrou poznamkou o neschopnosti a nebo neco takovyho. To uz tady ale vsechno bylo ...