MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[ludvik]

Někdo z těch, co vlnou prošli by to prostě měl zkusit. Nově netinstalovanou 6.42.6 (a ať to máme komplet i 6.40.8.), s poctivým náhodným unikátním heslem (nějakým soft generátorem) a bez firewallu a omezení ip/services. Jen logování, nejlépe na extra syslog.
A pak to samé s omezením v ip/services, ať se potvrdí nebo vyvrátí hoaxy o tom, že je to prostřelitelné.

Nikdo zatím nepotvrdil nákazu na posledních verzí. Jenom něco vyštěk a nepotvrdil.

[farmar]

Ano má to i zpětnou vazbu. Je to jednoduchá app psal mi to kamarád. Má to ještě nějaké mouchy ale Jaem s tím schopny za 3 minuty na naši síti dat updatovat 100jednotek každá jiné heslo a pak si dat na 20m nohy na stůl Má to i LOG který ještě doladujeme kde to vypisuje errory. V případě Updatu ke to použitelné jen na jednotkách které mají internet a nastavené ip DNS. Na jednotkách v bridge které nemají přístup do netu to nejde. Dá se tím hromadné dělat jakékoliv příkazy které jdou prez třeba putty/MAC Telnet/Telnet. A je to dělané tak ze každá jednotka muže mít jiné jméno a heslo.

Zdravím, nechcel by si ten soft spenažiť?? Ja by som mal vážny záujem.

ďik

Co by to mělo dělat? Jakou cenu považuješ za příjemnou? mpcz, 25.7.2018

Keďže hromadne aktualizácie v dude nejak nefunguju dobre, aby to vedelo sa prihlásiť na cca 50 klientských jednotiek, kde sa spusti príkaz v MK na upgrade, alebo hromadná zmena, pridanie veci do firewalu a cena ? fakt neviem povedz nejakú cenu, aby sa ti to predávalo, myslim, že sme tu viacerý čo by sme to využili

[the.max]

Tohle napsat není problém, stačí mít IPčka RBček někde v databázi/souboru a pak následně ve smyčce procházet ty IPčka, lognout se na ně spustit sadu příkazů a šup na další. V případě změny hesla to pak může ještě do té databáze postnout nově vygenerované heslo, případně ho to zapíše do texťáku spolu s IPčkem, oddělí se to středníkem nebo čárkou a je z toho CSVčko. Napsat si to je práce já nevím, na 10-15 minut? Víc práce asi dá získat smysluplný seznam IPček.

Jinak ona i ta aktualizace z Dude funguje, akorát je u toho potřeba trochu přemejšlet. Je potřeba si vytvořit několik skupin zařízení a ty pak aktualizovat postupně. Ono je totiž docela sranda, když se nechá aktualizovat klientské CPE zároveň s APčkem, protože se stane to, že APčko se rebootne dřív, než CPE stihne dotáhnout ROS.

[mpcz]

Jestli máš v ruce nějaké ty loginy a hesla z toho minulého ''zamykače'' tak pošli zkusím.

Tak jednoduché to není. Pokud mi ale pošleš jeden zamklý stroj a nebude to nějaká nová neznámá kompletní mutace, heslo a login ti pošlu. Může v něm být i poslední verze ROS, tzv. bezpečná. Předpokládám, že pokud se to podaří, vše proběhlo dle stejného scénáře, heslo bude fungovat i do toho zbytku zamklých. Být tebou, tak neváhám, útočník má kompletní přístup do tvé sítě, je dokonce schopen odchytávat data z emailů, hesla atd. mpcz, 25.7.2018

[3com]

Jestli máš v ruce nějaké ty loginy a hesla z toho minulého ''zamykače'' tak pošli zkusím.

Tak jednoduché to není. Pokud mi ale pošleš jeden zamklý stroj a nebude to nějaká nová neznámá kompletní mutace, heslo a login ti pošlu. Může v něm být i poslední verze ROS, tzv. bezpečná. Předpokládám, že pokud se to podaří, vše proběhlo dle stejného scénáře, heslo bude fungovat i do toho zbytku zamklých. Být tebou, tak neváhám, útočník má kompletní přístup do tvé sítě, je dokonce schopen odchytávat data z emailů, hesla atd. mpcz, 25.7.2018

Odkud jste vojáku? Kdyby to bylo v mém dostřelu klidně to dovezu osobně pro analýzu

[mpcz]

SZ, mpcz, 26.7.2018

[ArkaNoid]

Když už přišla řeč na ten update ROS jednotek v celé sítí hromadně. Jak provádíte? Ručně nebo hromadně přes nějaký soft, Dude nebo Informační systém nebo jak?

Cus
Velmi jednoduchy script v bash.
Mam to napisane
- volim si rozsahy, len tam kde nieco je, aby script nehladal tam kde nic nieje
Vramci bash scriptu vies toho vela urobit.
Script je nastaveny tak :
- detekuje devices na winbox porte
- overi podla snmp comunity, aky ma FW
- ak nema najnovsi - tak ho tam uploadne cez scp
- ak ma najnovsi tak nenahrava nic
- nasledne scontroluje bios ci ma najnovsi
- ak nema posle prikaz na upgrade bios
- ak ma tak neposiela nic

[mpcz]

Zdravím, kolik vlastně je způsobů, jak upgradovat na dálku - automaticky ROS? Vzhledem k situaci není vhodné váhat, raději se tedy zeptám. Odzkoušel jsem 3, každý má své pro i proti. Co se prosím osvědčuje v praxi jako nejlepší, jako součást upgradovacího automatu? Plán je - samozřejmě pod W10. Dík, mpcz, 26.7.2018

[dxtx]

Mohl by někdo prosím poskytnout skripty pro hromadnou aktualizaci viz. ArkaNoid?
Děkuji

[Lien]

Mám k tomu jeden dotaz: i když mám vše vypnuto, rOS aktuální a hesla změněna, stejně se mi v logu objevuje pořád hláška "fetch: file "mikrotik.php" downloaded" ... ten soubor má velikost 0
Mám to nějak zásadně řešit, nebo je to jenom "kosmetická" vada

[Dalibor Toman]

Mám k tomu jeden dotaz: i když mám vše vypnuto, rOS aktuální a hesla změněna, stejně se mi v logu objevuje pořád hláška "fetch: file "mikrotik.php" downloaded" ... ten soubor má velikost 0
Mám to nějak zásadně řešit, nebo je to jenom "kosmetická" vada

zustal v Ti tam skript od utocnika, ktery se v secheduleru spousti
najdes to a smazes v:
system -> scripts
system -> scheduler

[Sidi]

Nenapadla už někoho taková kacířská myšlenka, že do ROSu existuje nějaké univerzální heslo, které si tam zadrátovali přímo v Mikrotiku? Nebyli by první, ani poslední. Tím by se dalo vysvětlit to, proč se to šíří i na 'bezpečných' verzích.

žádný tam není, jestli si čet něco s těch odkazů co už tu jsou 2x tak to někdo opravdu hodně pitval a nic tam není.

Nikdo zatím nepotvrdil nákazu na posledních verzí. Jenom něco vyštěk a nepotvrdil.

Minulý týden aktualizovaný RB na 6.42.5, změněno heslo, máme změněné i uživatelské jméno. Tento týden napaden, nemá veřejnou IP.

[mpcz]

A jako obvykle - dotazy:
- co je v logu?
- bylo restartováno za poslední dobu?
- jaké porty a na čem povoleny?
- filtrace na IP u portů byla a jaká?
- má na napadený stroj přímý přístup nějaký sousední stroj?
- co to je vlastně "napadený RB"?
Dík, mpcz, 27.7.2018

[Dalibor Toman]

Minulý týden aktualizovaný RB na 6.42.5, změněno heslo, máme změněné i uživatelské jméno. Tento týden napaden, nemá veřejnou IP.

co na to support od MT?

neni na tom MT jeste nejaky (potencialne napadnutelny/proflakly) dalsi ucet s full pravy?

[Sidi]

A jako obvykle - dotazy:
- co je v logu?
- bylo restartováno za poslední dobu?
- jaké porty a na čem povoleny?
- filtrace na IP u portů byla a jaká?
- má na napadený stroj přímý přístup nějaký sousední stroj?
- co to je vlastně "napadený RB"?
Dík, mpcz, 27.7.2018

Dnes jsem to zjistil. MK během dne vyměním a zkoumat detailněji to budu příští týden.

Před týdnem upgrade FW.
Winbox, telnet, api, ssh povoleno, ostatní zakázáno.
Identity má nastaveno na "test" a změněný heslo, takže dovnitř (do logu) se zatím nedostanu.
Uživatel tam je jen jeden, úplně nový heslo, který do minulého týdne neexistovalo, složitost více než dostatečná.