MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[puchnar]

hesla byla změněna přu upgradu na 6.42.5 nebo tak něco, jinak na všech strojích heslo stejné 9 znaků velká malá písmena čísla speciální znaky. Kroěm hraničního firewallu (kde byl ten block v rawu tam bylo heslo 16 znaků, neodvoditelné
EDIT1: Zajímavé je, že do mirkotiků připojených přes VPN, se stejným hesle, to pravěpodobně nevlezlo, i když byly z ostatních routerů dostupné. Jiank celá síť routovaná v podstatě žádný z MK nebyl ve stejném networku s jiným MK resp. vždy dva sosuedící pouze (např. BLOCKLIST-->FIREWALL-->CCR-->VPN, toto jsou tři sítě, zaroutované)

[mpcz]

Nějak mi z toho není úplně jasné, zda ty stroje byly zamklé. mpcz, 24/9/2018

[puchnar]

jako změněné heslo? ne, ale objevil se tam cizí script a ve všech ostatních mikroticích v logu chyba o oprávnění scriptu a scp.
Dále na BLOCKLISTU i to smazalo veškeré adresslisty. A všude se to pokoušelo asi? lognout pod loginem ispadmin ale neúspšn+ (vidno v logu) vždy ze stroje s tím scriptem. Zajímavé je, že na všech strojích účet ispadmin existuje, se stejným heslem síla 64 znaků (random generováno) a má oprávnění read only, heslo k účtu ispadmin je zadáno pouze v mikroticích a ispadminovi nikde jinde

[cerva]

Bylo během upgradu změněno i heslo na usera ispadmin?

[puchnar]

před upgradem účet ispadmin neexistoval

[DRAKK]

Pouzivas ISPAdmin? Jakou verzi?

[Machca]

heslo muselo uniknout před upgradem

[hapi3]

ty voe, furt dokola už několik měsíců. Bude se tu řešit už něco tak že se to vyřeší nebo se tu furt bude psát to samí dokola? Někdo si všimne že má napadeno a nepřečte si ani jednu stránku zpět a hned "buuu napadeno, heslo v řiti" a nakonec dotyčný ani nezodpoví detaily kdy mu vždy uniklo heslo už předem. Pak poslední jenda že je tam ispadmin login a nakonec tam není, to nemá ani hlavu ani patu. Takžde k čemu to sakra je? je tu jenom chaos vo hovně.

[mpcz]

Taky si myslím to stejné, pouze trošku jinými slovy (i když uznávám, ze jsem se trošku i zasmál). Skoro by to chtělo nějaký formulář, jinak to doptávání na podrobnosti je značně únavné a nepraktické, většinou nevede k cíli a někomu to evidentně i zdvihá krevní tlak.
Jen mi trošku uniká smysl toho postupu, kdy útočník zjistí heslo, dá si pauzu a pak až po nějakém čase stroj přehesluje nebo nějak dle svého upraví. mpcz, 25/9/2018

[hapi3]

smysl to má protože po upgradu už heslo nevytahneš a zařízení je prostě na reset.

[mpcz]

Prosím o trošku tpělivosti, protože:
Pokud útočník zjistí heslo z napadnutelné verze a nic nedělá, čeká, tak maximálně riskuje že oběť mu ten stroj upgraduje a heslo změní. Pak z toho nemá vůbec nic. Navíc - pokud by i uživatel heslo nezměnil, ihned si cizího přihlášení v nové verzi všimne a útočník má zase po legraci. Dále může uživatel při upgrade udělat zcela běžnou blokaci z IP adres. Z tohoto důvodu se mi zdá popisovaný životopis těch napadených strojů méně obvyklý. mpcz, 25/9/2018

[Noxus28]

Ak mu to skenuje nejaký robot a ukladá tak môže nejaký čas trvať kým sa k tomu záškodník osobne dostane a pozrie sa čo to je zač a na čo by to teoreticky mohol zneužiť. rsp môže hrať aj rolu odstúpenie nazhromaždených prihlásení tretej strane čo tiež nejaký čas trvá....
to ale je len teoretická úvaha

[puchnar]

Pro některé z vás:
A) četl jsem celé toto vlákno
B ) Heslo nemohlo před upgradem uniknout protože před upgradem ještě účet neexistoval, byl založe v momentě upgradu na 6.43
C) snažil sjem se uvést všechny věci co mě napadli, pokud jsme na nějaké zapomněl snad není problém je doplnit
D) stroje nejsou zamklé, což je zvláštní, nicméně s jedním experimentuju a když jsem ho upgradnul na 6.43.2 tk se do něj stále pod starým heslem dostanu, nicméně v logu se objeví chyba: "Broken package routeros-mipsbe-6.43.npk
E) divím se, že se tu někdo ohání až teď když celou dobu tu každý druhý napíše, že mu tohle a tamto pomohlo zjistit změněná hesla, ale už je sem nenapíše...... a všichni kdo něco ví tu tají podrobnosti..... a nabízí svoje služby za CASH

[Dalibor Toman]

Pro některé z vás:
A) četl jsem celé toto vlákno
B ) Heslo nemohlo před upgradem uniknout protože před upgradem ještě účet neexistoval, byl založe v momentě upgradu na 6.43
C) snažil sjem se uvést všechny věci co mě napadli, pokud jsme na nějaké zapomněl snad není problém je doplnit
D) stroje nejsou zamklé, což je zvláštní, nicméně s jedním experimentuju a když jsem ho upgradnul na 6.43.2 tk se do něj stále pod starým heslem dostanu, nicméně v logu se objeví chyba: "Broken package routeros-mipsbe-6.43.npk
E) divím se, že se tu někdo ohání až teď když celou dobu tu každý druhý napíše, že mu tohle a tamto pomohlo zjistit změněná hesla, ale už je sem nenapíše...... a všichni kdo něco ví tu tají podrobnosti..... a nabízí svoje služby za CASH

zatim stale plati, ze vezer vydane po objeveni winbox exploitu (tedy 6.40.8+ z bugfix/longterm rady a 6.42.1+ z current rady) jsou bezpecne. Nikdo nepodal presvedcivy dukaz o opaku, nikdo zatim nezverejnil, ze existuje chyba/exploit do novych verzi ROSu. Takze pokud se neco dostalo do zarizeni s opravenym ROSem je prakticky jiste, ze problem neni v ROSu ale nekde jinde. Heslo mohlo byt uhodnoto, pokud je stejne heslo na vice zarizenich , mozna nektere ma/melo napadnutelnou verzi ROSu atd atd. Tahle informace se tu opakuje kazdy 2hy prispevek ale stejne to je zrejme malo.
Tolik k tomu, ze nekdo neco vi a taji podrobnosti, pripadne za to dokonce chce penize.

Hesla se daji vzdalene zjistit jen z napadnutelnych verzi. Bezny odbornik ma k dispozici jen ty nastroje, ktere najde na netu (github.com) a rozhodne nema sanci si je vyrobit na zelene louce (objevit novou diru). Takze nema zadne utajene vedomosti ani nastroje, ktere by nemohl mit kdokoliv jiny.

[Machca]

A jak jsem psal stačí dát do hesel znaky specifické pro češtinu a exploity jsou k ničemu i na starších verzích, myšleno ř,č a podobně...