MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

hraju si tu s explodem na zjištění hesla a v logu nezůstane nic ale heslo mám. Z nějakýho důvodu z testovací 6.40.4 heslo dostanu ale z 250 dnů běžící na x86 ne.

Hapi má pravdu. Bohužel průnik a získání hesla nenechá v logu žádnou stopu (ověřeno). Jako by se nic nedělo. Dle mého průnik začne na portu 80, udělá pár pokusů, stáhne data, rozšifruje heslo a je to hotové. Pokud zakážete port 80, útok se nezdaří. (Samozřejmě verzí a modifikací může být více). Co udělá pak a především, jestli to nechá stopu v logu se mi nepodařilo zatím zjistit, ten linux s těmi věčnými balíčky a doinstalacemi mě dost psychicky ničí, necháme to guruům linuxu.
Zajímavé by bylo, zkusit se nabourat do nakaženého a zamklého mikrotiku, jestli to jde. Někdo by si ušetřil výjezd(y). Zrovna upozorňuji, že se takový nesmí odpojit od napájení, jinak se upgraduje na novou verzi a už to nepůjde určitě. mpcz, 30.6.2018

torch_útok.jpg (58 KiB) Zobrazeno 3701 x

[Myghael]

Ve všech případech nám zatím přístup zůstal, takže vyjíždět jen kvůli nákaze zatím nebylo nutno.

OT: Jak souvisí balíčky nějaké linuxové distribuce (na které nemusíš být guru, spíše v tom hledej obtížnost naučit se něco jiného, co ti zřejmě jinak k užitku není) s logy mikrotiku? Ano, ve windowsím notepadu se čtou blbě, na to pomáhá nějaký pokročilejší editor, například volně šiřitelný PSPad.

[mpcz]

No gratuluji. Představ si, že existuje spousta lidí, jen co znám, kteří zamklý mikrotik zažili a ne jednou. Ti mají pravděpodobně jiný názor. Zvláště jeden pražák, který jel na Moravu záležitost řešit osobně.
Dnes se mi dostal na stůl nakažený mikrotik 711 s verzí 6.35, který evidentně chrlil do WANu nákazu. Po projítí všeho možného jsem nenašel nic, co by to způsobovalo. Stáhl jsem backup i export, ale nic tam na první pohled laika vidět není. Teď čekám, co to udělá po upgrade na "bezpečnou" verzi. Má někdo nějakou ideu, co hledat? Než to upgraduji. Dík, mpcz, 30.6.2018

[hapi]

hraju si tu s explodem na zjištění hesla a v logu nezůstane nic ale heslo mám. Z nějakýho důvodu z testovací 6.40.4 heslo dostanu ale z 250 dnů běžící na x86 ne.

Hapi má pravdu. Bohužel průnik a získání hesla nenechá v logu žádnou stopu (ověřeno). Jako by se nic nedělo. Dle mého průnik začne na portu 80, udělá pár pokusů, stáhne data, rozšifruje heslo a je to hotové. Pokud zakážete port 80, útok se nezdaří. (Samozřejmě verzí a modifikací může být více). Co udělá pak a především, jestli to nechá stopu v logu se mi nepodařilo zatím zjistit, ten linux s těmi věčnými balíčky a doinstalacemi mě dost psychicky ničí, necháme to guruům linuxu.
Zajímavé by bylo, zkusit se nabourat do nakaženého a zamklého mikrotiku, jestli to jde. Někdo by si ušetřil výjezd(y). Zrovna upozorňuji, že se takový nesmí odpojit od napájení, jinak se upgraduje na novou verzi a už to nepůjde určitě. mpcz, 30.6.2018
torch_útok.jpg

ale ne, studuju to dneska co se dá a těch útoků je několik. Jeden napadá web, ten údajně opravily, druhej napadá winbox, ten údajně opravili. Stačí mít dostupnej winbox a už to jede.

Co máš s linuxem? spust si ve virtuálu nebo live ubuntu server nebo desktop a všechno je připravený. Teoreticky můžeš použít i linux ve win10 a mělo by to fungovat stejně.

[hapi]

No gratuluji. Představ si, že existuje spousta lidí, jen co znám, kteří zamklý mikrotik zažili a ne jednou. Ti mají pravděpodobně jiný názor. Zvláště jeden pražák, který jel na Moravu záležitost řešit osobně.
Dnes se mi dostal na stůl nakažený mikrotik 711 s verzí 6.35, který evidentně chrlil do WANu nákazu. Po projítí všeho možného jsem nenašel nic, co by to způsobovalo. Stáhl jsem backup i export, ale nic tam na první pohled laika vidět není. Teď čekám, co to udělá po upgrade na "bezpečnou" verzi. Má někdo nějakou ideu, co hledat? Než to upgraduji. Dík, mpcz, 30.6.2018

existuje dekoder backupu a teď nemyslim ten od mikrotiku ale jinej kterej dekoduje víc informací z backupu.

[Magic]

Možná to někomu pomůže a tak přidávám naší zkušenost.
Jsme sice malá síť do 1000 jednotek, ale vše je postavené na MK. K dnešnímu dni žádná nakažená jednotka, alespoň tomu nic nenasvědčuje, vzhledem k popisovaným případům tady.
Všechny klientské jednotky mají povolen v service port 8080(změněný web), 8291(winbox) a 22(ssh). Historicky máme nastaven u všech jednotek povolení jen z jedné IP adresy LAN (která není v rozsahu DHCP klienta) a pro adminy VPN ip rozsah + DUDE. Všechno ostatní je pro input REJECT.
Na drtivé většině byla verze mezi 6.33.5 a 6.36.4 a to i na těch, které mají veřejné IP adresy (cca 40).
Před pár týdny jsem měl i já tu čest vidět napadený MK. Napadený MK (RB951) byl vlastní od klienta, který ho měl za naší jednotkou. Upozornil nás na něj náš poskytovatel ČRa.
Přes torch (naší klientské jednotky) jsem viděl, že se napadený RB snaží připojit portem 8291 všude možně (stovky spojení). Hlavně na veřejné IP adresy v internetu. Bohužel jsem si neudělal screen, ale mám dojem, že tam mezi nimi byl i port 22, ale nejsem si jistý.
Můj závěr je, že hlavní ochrana je firewall a ikdyž jednotka nebyla upgradovaná na poslední verzi, tak napadený RB nebyl schopen nakazit jednotku před ní a ani MK v síti.
Po tomto incidentu je nyní cca 98% MK v síti na verzi 6.42.4 a 6.42.3. Ale byla to fuška.
P.S. K dnešnímu dni není na hlavním routeru vidět jakákoliv komunikace 8291 ven ze sítě. Pouze útoky dovnitř na veřejné IP adresy našich klientů.
Ani žádný problém s přístupem na jednotky při upgradu (žádné změněné heslo, několik restartů)

[hapi]

napsal sem si multi threadovou funkci pro spouštění několik WinboxExploit (100 vláken) a poslal to na konkurenční sítě s asi tak 24 Cčkami, za minutu bylo hotovo. Co sem zjistil nechtějte vědět

[mpcz]

No gratuluji. Představ si, že existuje spousta lidí, jen co znám, kteří zamklý mikrotik zažili a ne jednou. Ti mají pravděpodobně jiný názor. Zvláště jeden pražák, který jel na Moravu záležitost řešit osobně.
Dnes se mi dostal na stůl nakažený mikrotik 711 s verzí 6.35, který evidentně chrlil do WANu nákazu. Po projítí všeho možného jsem nenašel nic, co by to způsobovalo. Stáhl jsem backup i export, ale nic tam na první pohled laika vidět není. Teď čekám, co to udělá po upgrade na "bezpečnou" verzi. Má někdo nějakou ideu, co hledat? Než to upgraduji. Dík, mpcz, 30.6.2018

existuje dekoder backupu a teď nemyslim ten od mikrotiku ale jinej kterej dekoduje víc informací z backupu.

Kde se dá získat? Děkuji, mpcz, 30.6.2018

[mpcz]

napsal sem si multi threadovou funkci pro spouštění několik WinboxExploit (100 vláken) a poslal to na konkurenční sítě s asi tak 24 Cčkami, za minutu bylo hotovo. Co sem zjistil nechtějte vědět

Jen opatrně, v některých státech je podobná činnost oceněna jako těžký zločin s taxou až 30 let žaláře ... mpcz, 30.6.2018

[Selič]

​Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

Někde od verze 6.40 je v default firewallu v pravidle na input i forwardu zaškrtnuto navíc v connection state established a related nově untracked. Jinou díru jsem nenašel.

[hapi]

https://github.com/BigNerd95/RouterOS-Backup-Tools
https://github.com/BigNerd95/WinboxExploit
https://github.com/0ki/mikrotik-tools
https://github.com/BasuCert/WinboxPoC

všechno už je v tomhle vlákně.

[mpcz]

https://github.com/BigNerd95/RouterOS-Backup-Tools
https://github.com/BigNerd95/WinboxExploit
https://github.com/0ki/mikrotik-tools
https://github.com/BasuCert/WinboxPoC

všechno už je v tomhle vlákně.

Dík, ale to už mám vyzkoušené a nic jsem tam neviděl. Je to ale pohled laika. Na co by se zaměřil odborník? Pokud by to byla 411-ka, asi by tam šlo jednoduše vlézt po sériové lince, což by mohlo ledacos napovědět. mpcz, 30.6.2018

[Invia]

Co chceš pořád zkoumat? Maximálně najdeš pár binárek a skriptů v routeru a bez znalostí reverzního inženýrství, assembleru a podobných věcí ti to bude stejně k prdu. Navíc těch nákaz může (a pravděpodobně i je) více druhů.

Btw hapi, nevím, jestli je moudré se na veřejném fóru chlubit tím, že jsi hackoval konkurenční routery. I když si (pravděpodobně) nic nezneužil,je to ilegální.

[the.max]

Pokud by se někde našlel hacklý board se sériákem, tak se dá RBčko nabootovat ze sítě do OpenWRT a odtamtud si přimountovat mtdčka, odkopírovat si je bokem a porovnat s čistě netinstallem nalitým boardem. Do WRTčka jde naboorovat i SXT, nebo asi i cokoli jiného, jen se mi to nepodařilo bez resetu do defaultu.

[Myghael]

Tak to nebude problém, prostě strčím na net nějakou plonkovní RB433AH. Nákaza do 10 minut prakticky zaručena.