MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[radik]

A jak to vypada, tak overeni pres RADIUS se nevypne, takze kdo vetsi site co overuji tak jsou v klidu a pristup jim funguje. Otazka casu nez na to nekdo prijde a bude smerovat k sobe na servery pro ziskavani hesel...

[Dalibor Toman]

DLL se nestahují už od verze 6. Nějaké jiné věci ano, ale jsou to zjevně jen data. A na to stačí 3.12, kterým se lze dostat i na ROS 3.30. Winbox 3.13 jen natvrdo blokuje připojení k těm starým, co dll vyžadují. Takže výsledek je, že stejně musím stáhnout dll, když musím ... co mi zbývá.

Winbox pro linux nikdy existovat nebude, protože za a) funguje pod wine a za b) zjevně do budoucna preferují WebFig.

videl jsem ruzna tvrzeni, co se tyce DLL. Fakt je ale, ze ChimayRed exploit pouziva k ziskani informaci z MT techniku, ktera vyuziva URL http://ip/winbox/index, coz je soubor, ktery normalne obsahuje seznam DLLek na danem MT a lze jej ziskat bez jakehokoliv hesla (exploit ten soubor prepise svym obsahem).

# curl -s http://10.0.x.x/winbox/index
3624616982 692810 roteros.dll 6.37.5
2157710369 36609 advtool.dll 6.37.5
3321250805 43198 dhcp.dll 6.37.5
2200761827 45194 hotspot.dll 6.37.5
3949670801 44699 mpls.dll 6.37.5
3546586963 48738 ppp.dll 6.37.5
542957148 60835 roting4.dll 6.37.5
1995083786 49417 secure.dll 6.37.5
1307093385 2542 system.dll 6.37.5
1635132986 75738 wlan6.dll 6.37.5

PS: jde to stahnout i z 6.40.7

a aby si nekdo nemyslel, ze se jedna jen o zapomenuty file a DLLka ve skutecnosti na MT nejsou:

wget http://10.0.x.x/winbox/ppp.dll
--2018-05-18 07:28:55-- http://10.0.x.x/winbox/ppp.dll
Connecting to 10.0.x.x:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 48738 (48K) [application/octet-stream]
Saving to: ‘ppp.dll’

ppp.dll 100%[============================================================================================================================>] 47.60K --.-KB/s in 0.004s

2018-05-18 07:28:55 (12.0 MB/s) - ‘ppp.dll’ saved [48738/48738]

nefunguje to na vsech MT, ktere maji povoleno WWW (a netusim proc), ale jako dukaz toho, ze DLL jso v ROSu i ve verzi 6.x to staci.

Co stahuje/nestahuje winbox starsi nez 3.13 jsem do detailu nezkoumal. Fakt je, ze 'Downloading plugins' zobrazuje nejak moc casto.
Ze nebude winbox pro Linux bych celkem veril - ja jen chtel rict, ze kdyby se MT neupjal na ta DLLka, tak se mohl snazit winbox napsat tak, aby byl prelozitelny i na vice platformach. Webfig - no i na BFU je to moc slozite protoze tech nastaveni je proste strasne moc. A pro experta je webfig sproste slovo.

[Myghael]

Jasně, vždyť sami prohlásili, že je pro ně jednodušší udělat winbox tak, aby fungoval i pod Wine. A krom toho ten webfig s každou verzí vypadá v podstatě stejně jako winbox, jen bez okýnek.

[ludvik]

Tohle napsal přímo Normis na MK fóru: Winbox v3 never downloads any DLL files since 2014. It does not download any DLL files from any RouterOS version. Do not use old version 2 Winbox is the safest solution.

Považoval bych to za seriózní zdroj informace.
A koukal jsem do lokálních dat winboxu a fakt tam uložené nejsou.

videl jsem ruzna tvrzeni, co se tyce DLL.

Jsem netvrdil, že tam nejsou vůbec. Jen jsem říkal, že ať už je jakýkoliv exploit jakkoliv změní, není normální způsob jak je dostat na počítač a "zavirovat" se. Alespoň ne winboxem.

[radik]

A jeste jsem zapomnel napsat, ze i takhle chyba je docela stara. Znama od cca 19.3.2018. Takze od pana Klimy tuhle chybu povazovat jako novinku mi neprijde zrovna dobry.

Mela by stacit verze vyssi nez 6.41.3/6.42rc27 .

[Kolombo]

Zapomněl jsem na jednom z Mikrotiku s veřejkou zablokovat port 80 a přihodilo se mi viz níže. Co bych měl nyní udělat, abych minimalizoval nákazu? Port 80 jsem již zablokoval i port 8192 do internetu. Byla tam verze 6.41.3 (stable).

login.JPG (49.89 KiB) Zobrazeno 3543 x

Díky za radu. K.

[Dalibor Toman]

Zapomněl jsem na jednom z Mikrotiku s veřejkou zablokovat port 80 a přihodilo se mi viz níže. Co bych měl nyní udělat, abych minimalizoval nákazu? Port 80 jsem již zablokoval i port 8192 do internetu. Byla tam verze 6.41.3 (stable).
login.JPG
Díky za radu. K.

WWW v tehle verzi uz je opravene, neopravena je chyba ve Winboxu. Pokud se necoi nezmenilo tak typicky utok na winbox se logoval jako 2 neuspesne pokusy o prihlaeni a pak uz jako uspesny pokus (utocnik si stahl hesla). okud neco takoveho v logu mas tak upgradnout na 42.1 (nebo novejsi) a zmenit hesla. Jinak staci jen ten upgrade (ale zmena hesa pro sichr neuskodi)

[Kolombo]

Díky za info. Snad to tedy nebude tak zlé. Přes winbox se dovnitř nikdo nedostal - teda alespoň podle logu. Verzi jsem hned updatnul na 6.42.2 a heslo také změnil. Tak snad to již bude OK.

[mpcz]

Jakou má ten mikrotik IP? Stačí půlka - 2 oct. Dík, mpcz, 21.5.2018

[petr21]

Ahoj,

dneska jsem se chtěl přihlásit do mikrotiku a nešlo to. Nakonec se to povedlo a tohle přibylo ve firewall.

Kód: Vybrat vše

 0    ;;; Add you ip addess to allow-ip in Address Lists.
      chain=input action=tarpit protocol=tcp dst-port=30553

 1    ;;; The security flaw for Hajime is closed by the firewall.
      chain=input action=add-src-to-address-list protocol=icmp address-list=allow-ip
      address-list-timeout=1h packet-size=1083

 2    ;;; Please update RotherOS and change password.
      chain=input action=accept src-address-list=allow-ip

 3    ;;;  Thanks are accepted on WebMoney Z399578297824
      chain=input action=drop protocol=udp dst-port=53

 4    ;;; or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1
      chain=input action=drop protocol=tcp dst-port=53,8728,8729,21,22,23,80,443,8291

 5    ;;; Login ssh,api,api-ssl
      chain=input action=accept connection-state=new protocol=tcp src-address-list=sshaccept
      dst-port=22,8728,8729 log=no log-prefix=""


[mrazek609]

Jsou v address listu pod allow-ip nějaké IP adresy?

[mpcz]

Konečně něco konkrétního, hmatatelného. Co torch na WAN port 8291? Dík, mpcz, 22.5.2018

[petr21]

Jinak jsem nic nenašel, ale tomu se mi moc věřit nechce. Ty mám nastavený na mikrotiku.

Kód: Vybrat vše

 
1   allow-ip                                                         192.168.1.0/24                                          may/19/2018 01:48:02
 2   allow-ip                                                         192.168.2.0/30                                          may/19/2018 01:48:02
 3   allow-ip                                                         192.168.3.0/24                                          may/19/2018 01:48:02
 4   allow-ip                                                         192.168.4.0/29                                          may/19/2018 01:48:03
 5   allow-ip                                                         192.168.12.0/24                                        may/19/2018 01:48:03
 6   allow-ip                                                         192.168.56.0/24                                        may/19/2018 01:48:03
 7   allow-ip                                                         192.168.160.0/24                                      may/19/2018 01:48:03
 8   allow-ip                                                         rozsah veřejný ip/29                                   may/19/2018 01:48:03


[Invia]

Je dost možné, ze někdo využívá daných chyb jen na to, aby zabránil šíření botnetu(čemuž odpovídají i ty pravidla ve fw). Koneckonců ne všichni programátoři se snaží bezp. problémy jen zneužívat pro vlastni "potěšení".

[ludvik]

Virus co ti opraví firewall? To bych snad virem nenazýval ... I když stačí pingnout a jsem tam.