MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[basty]

Jen pro info že to zablokovalo přístup do mk, smazalo loginy, ale tím že to bylo na dirave verzi tak se dalo přes Mac telnet připojit na login co si to tam nahrálo (system) a exploitem zjistit heslo.

[TesPie]

Ty ses ale hacker, kdyby ten ISP podal trestni oznameni co bys delal

Ale k veci: v tom mikrotiku nejde nastavit automaticky update, jde napsat skript aby se provadel auto update?

Jasné, že na mě mohl podat trestní oznámení, ale doufal jsem, že to vezme sportovně. Něco jiného je, kdybych mu síť zneužil.
Od majitele ISP mi došel mail, že technici nedodrželi instrukce a mělo to již být hotovo.
Dokonce mi napsal, že je to sice trestné, ale že je rád, že jsem ho upozornil a že jednám čestně. Takový přístup se mi líbí a né jako arogantní majitel (zároveň i jediný technik) mého bývalého ISP, kterého štvalo, že jsem mu volal, abych si připlatil za veřejnou IP a vyšší tarif.

PS : Autoupgrade jde udělat scriptem, sice to mám jen asi na 30 ap (nejsem ISP), ale za rok mám 0 problémů. (Samozřejmě upgraduji i FW)

[joker]

Myslis takto? Zda se ze se syntaxe menila

https://wiki.mikrotik.com/wiki/Manual:U ... to-upgrade

[Trimarvis]

Myslis takto? Zda se ze se syntaxe menila

https://wiki.mikrotik.com/wiki/Manual:U ... to-upgrade

Ja mam funkcni upgrade script, ktery taha nejnovejsi stable verzi a zaroven upgraduje RouterBoot. Kdyztak mi napis do SZ.

3.9.2018 - Zajemcum jsem script poslal do sz, samozrejme to nezkousejte na historicke verzi, kdyz to ale date na nejakou novou, je to plne funkcni. Pouzivam to od 6.42 (kdy se proflakla ta chyba)

[whef]

Přijel jsem teď z dovolené a nevím jestli to je způsobeno tím virem, automaticky se upgradovali mikrotiky na verzi 64.7 přitom tam byla 64.5 a žádný auto upgrade, nebyl zapnut. V některých MK, byl smazán jeden uživatelský přihlašovací účet.

[mpcz]

A co log? Měly společné heslo? Co to je za verzi? mpcz, 4.sep.2018

[Dalibor Toman]

na forum.mikrotik.com nekdo dnes zminuje, ze nasel na napadenem stroji nastaveny packet sniffer tak, aby posilal data na vzdaleny stream server. Takze dalsi vec ke kontrole...

/tool sniffer> print
only-headers: no
memory-limit: 100KiB
file-limit: 100KiB
streaming-enabled: yes
streaming-server: 37.1.207.114
filter-stream: yes
filter-interface: all
filter-ip-protocol: tcp,udp
filter-port: ftp-data,ftp,pop3,143,1500,10000

[DarkLogic]

To jsem nasel taky, ale myslel jsem, ze to je znama vec. Az budu u PC, muzu postnout, jak vypadal sniffer u me.

EDIT: Díval jsem se, že ten sniffer jsem měl úplně stejný (vč. IP adresy), takže netřeba postovat znovu.

[BSDaemon]

Ahoj vespolek,
jsem čerstvý majitel zamklého RB. Samovolný restart, následne upgrade z 6.40.8 bugfix na 6.42.7 stable, změněné heslo, nedá se přihlásit. To asi znáte.

Už si to tady nějakou chvíli čtu, ale asi mi uniká, protí čemu stojím. Jak se ta svině jmenuje? Jaké CVE ID má zranitelnost, kterou používá?

Je to ta věc co využívá zranitelnosti Winboxu? (která, mimochodem, asi CVE ID vůbec nemá) Mě tam totiž nesedí to, že tato zranitelnost měla být opravena v dubnu 2018, právě ve verzi 6.40.8 bugfix (verzi ve stable nevím), kterou jsem tam měl. Očekával bych tedy, že proti tomto útoku bude imunní. Takže nerozumím tomu, jestli můj RB napadlo něco jiného nebo to šlo přes jinou zranitelnost nebo nevím...

[whef]

Taky nevím co to přesně je a jestli ta nahraná verze 6.42.7 co se tam nahraje je čistá nebo ne. Na některé MK se dostanu, pokud tam bylo víc přihlašovacích účtů, smaže to jen jeden. Za poslední dva dny jsem asi našel 40 nakažených MK, všechny měli verzi do 6.40 zbytek sítě OK.

Ahoj vespolek,
jsem čerstvý majitel zamklého RB. Samovolný restart, následne upgrade z 6.40.8 bugfix na 6.42.7 stable, změněné heslo, nedá se přihlásit. To asi znáte.

Už si to tady nějakou chvíli čtu, ale asi mi uniká, protí čemu stojím. Jak se ta svině jmenuje? Jaké CVE ID má zranitelnost, kterou používá?

Je to ta věc co využívá zranitelnosti Winboxu? (která, mimochodem, asi CVE ID vůbec nemá) Mě tam totiž nesedí to, že tato zranitelnost měla být opravena v dubnu 2018, právě ve verzi 6.40.8 bugfix (verzi ve stable nevím), kterou jsem tam měl. Očekával bych tedy, že proti tomto útoku bude imunní. Takže nerozumím tomu, jestli můj RB napadlo něco jiného nebo to šlo přes jinou zranitelnost nebo nevím...

[BSDaemon]

asi mi uniká, protí čemu stojím. Jak se ta svině jmenuje? Jaké CVE ID má zranitelnost, kterou používá?

Pro úplnost jenom připomínám, že původně toto vlákno začal Kryštof Klíma varováním před zranitelností SMB, CVE-2018-7445.
To co teď řešíme je ale něco jiného.

[ludvik]

Mikrotik CVE nepoužívá. Pokud je někde zmiňuje, tak pochází odjinud - od samby, ssh, atp.

Průšvih je v tom, že už existují databáze hesel. Čili spousta nákaz "čistých" verzí jede touto cestou. Vyloženě bug jako předtím zatím potvrzen nebyl.

[hapi]

potvrzen možná ne ale

MAJOR CHANGES IN v6.42.7:
----------------------
!) security - fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;

což se do 6.40.8 nedostalo

[ludvik]

To jsou zranitelnosti http. A podmínkou je znát heslo. A ještě jsem nenašel jiný projev, než DoS.

[BSDaemon]

Mikrotik CVE nepoužívá. Pokud je někde zmiňuje, tak pochází odjinud - od samby, ssh, atp.

Aha, to jsem nevěděl.
Ale CVE ID přece mají i specifické Mikrotik zranitelnosti. Zrovna http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1156, fixnutá v 6.42.7 stable/6.40.9 bugfix, je specifická pro Mikrotik licenční manager. Nebo jsem to špatně pochopil?

Průšvih je v tom, že už existují databáze hesel. Čili spousta nákaz "čistých" verzí jede touto cestou. Vyloženě bug jako předtím zatím potvrzen nebyl.

No, ano, jeden z pravděpodobných scénářů je, že někdy v minulosti, když tam byla starší zranitelná verze, vytáhli heslo a teď už šli na jisto. Bohužel jsem tomuto routeru nevěnoval tolik péče, kolik by si zasloužil a obávám se, že tam byl Winbox vystrčený venku. Pravda, teď to budu zřejmě celé konfigurovat znovu, takže ten rest dám konečně do pořádku.