MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

No to je bezesporu zajímavé zjištění, ale na tom bych tedy bezpečnost rozhodně nezakládal. Upravit exploit pro tento účel může být pro někoho hračka a co pak, že ... mpcz, 25/9/2018

[Myghael]

Security by obscurity se tomu běžně říká. Ano, pomáhá to, ale naštve to při většině nestandardních situací a naprosto to selže, jakmile je útočníkem objevena ta "obscurity", viz. diakritika v heslech. Samozřejmě to nijak neřeší exploit, kterým útočník to heslo zjistí. Ale jinak jo, já za dřevních dob používal v heslech sprostá slova (p**a, ku**a, ko**t a podobně), fungovalo to výborně, tato slova obsahoval hádací slovník jen málokterého "profy hekra", někde to zůstalo až donedávna ve variacích typu KokotZajebany341.

[honzam]

A jak jsem psal stačí dát do hesel znaky specifické pro češtinu a exploity jsou k ničemu i na starších verzích, myšleno ř,č a podobně...

Dobrý nápad. A co se zobrazí místo českého znaku při pokusu o vyčtení?

[hapi3]

nějakej jinej znak ale myslim že to je jenom otázka kodování výstupu zobrazení takže pokud někdo udělá script kterej je binary-safe tak je jedno jakej znak tam je.

[Machca]

Jiné znaky vypadá to jako cyrilice, samozřejmě to není Berná mince ale dá se to i tímto ošetřit, krom firewallu

[honzam]

nějakej jinej znak ale myslim že to je jenom otázka kodování výstupu zobrazení takže pokud někdo udělá script kterej je binary-safe tak je jedno jakej znak tam je.

Jasný ale nad tím by se musel už někdo zamyslet. A to ho v první chvíli nemusí napadnout že někdo používá speciální české znaky

[hapi3]

toho kdo vytvořil ten hack to určitě napadne. Museji mít ošetření i pro ruský znaky atd..

[whef]

Navrhuju založit nové téma s aktuální hrozbou, včetně přesměrování na minigy.

[Dalibor Toman]

nějakej jinej znak ale myslim že to je jenom otázka kodování výstupu zobrazení takže pokud někdo udělá script kterej je binary-safe tak je jedno jakej znak tam je.

Jasný ale nad tím by se musel už někdo zamyslet. A to ho v první chvíli nemusí napadnout že někdo používá speciální české znaky

znaky v hesle jsou v ukladany jako nejaka varianta UTF. Zrejme zpotvorena, protoze znaky s diakritikou, ktere jsem zkousel se vzdy vycetly jako jednobytove. A ten byte je shodny z poslednim bytem z UTF tabulek (í => 237 = 0xED). Je dost mozne, ze MT problem s multibyte znaky v UTF vyresil tim, ze bere jen nejnizsi byte (koneckoncu heslo nikde nezobrazuje v citelne podobe takze se to nikdo nedozvi) a vyresil si tak nejake interni obtize s multibyte stringy tak, ze z nich ma klasicke jednobytove retezce.
Takze je pravdepodobne, ze presnou podobu znaku s diakritikou (a cehokoliv co se koduje do vice bytu) nejde spolehlive po exploitu zobrazit. Ale jako zabezpeceni je to k nicemu. Kdyz uvidim, ze v hesle je znak s kodem 233 (pridat do exploitu vypis kodu znaku v hesle je prkotina), tak se podivam do UTF tabulky znaku a zjistim, ze moc prefixu zkouset nemusim a testnu rovnou to prvni, co uvidim a tedy znak 'é'. UTF tabulka mi nabizi cca 3 dalsi moznosti, nicmene pokud mechanismus zachazeni s heslem funguje tak jak si myslim, je jedno, kterou si vyberu - hlavne, ze maji ten spravny posledni byte.

Je treba si taky uvedomit, ze roboti, co exploituji tu chybu dost pravdepodobne nepouzivaji stejny exploit v pythonu, ktery tady zkousite. Asi maji vlastni implementaci nebo tu z pythonu ale dost prekopanou. Takze spolehat na to, ze nejsou schopni precist ty znaky je dost na povazenou.

[whef]

Tak dle pozorování máme v síti tři současné druhy virů na mikrotik.
1. Ten nejzákeřnější, nakazí tik tak, že do něl nelze nic nahrát ani přes netinstall, všechno smaže, příkazy ignoruje.
2. Zaspemovaná verze 6.42.7 nakažená, rozesílá několik mega spamů z wlan. Lze smazat netinstallem.
3. Přesměrovává všechen (6.42.7) provoz z localu na miningové stránky a nutí pc instalovat těžiče kryptoměn. Lze śnad smazat netinstallem
To jsou moje stručné postěhy, těžko říct, která verze je imunní, nemám čas tu a na netu všechno číst. hezký svátečný den přeji všem

[mpcz]

Tak dle pozorování máme v síti tři současné druhy virů na mikrotik.
1. Ten nejzákeřnější, nakazí tik tak, že do něl nelze nic nahrát ani přes netinstall, všechno smaže, příkazy ignoruje.
2. Zaspemovaná verze 6.42.7 nakažená, rozesílá několik mega spamů z wlan. Lze smazat netinstallem.
3. Přesměrovává všechen (6.42.7) provoz z localu na miningové stránky a nutí pc instalovat těžiče kryptoměn. Lze śnad smazat netinstallem
To jsou moje stručné postěhy, těžko říct, která verze je imunní, nemám čas tu a na netu všechno číst. hezký svátečný den přeji všem

Zdravím, chápu, já mám zase času dost, ale zase nerozumím, třeba ad 1./ co to je "všechno smaže".
Nebylo by špatné hodit set obsah těch skriptů z nakažených strojů, někteří by třeba z toho mohli odvodit obranné mechanismy. mpcz, 28/9/2018

[pgb]

2mpcz: ono to nemá moc smysl postovat sem konfig z každého nakazého MK. Vzhledem k tomu, že došlo k průniku, tak problém bude ukrytý někde v tom linuxovém systému a v tom frontendu co ti mk dovolí zobrazit ho celý stejně neuvidíš. Nebo se umíš dostat do linuxové konzole pro ovládání interního sw? Pokud ano, tak porovnáním by se dalo zkoumat kde všude interně se ten vir zavrtal, ve frontendu to být vidět nemusí.

[mpcz]

2mpcz: ono to nemá moc smysl postovat sem konfig z každého nakazého MK. Vzhledem k tomu, že došlo k průniku, tak problém bude ukrytý někde v tom linuxovém systému a v tom frontendu co ti mk dovolí zobrazit ho celý stejně neuvidíš. Nebo se umíš dostat do linuxové konzole pro ovládání interního sw? Pokud ano, tak porovnáním by se dalo zkoumat kde všude interně se ten vir zavrtal, ve frontendu to být vidět nemusí.

Dík, ano, umím se dostat do té konzoly, ale nedovedu to posoudit tak do hloubky. Vím ale, že i z těch SKRIPTů lze někdy odvodit účinná obrana nebo alespoň druh obrany. Z některých strojů, které se mi dostaly na stůl pouze k odemknutí bylo jasně patrné, co útočník zamýšlel a jak se tam asi dostal. Prostá změna obsahu ROS by mohla být neúčinná po upgrade verze, to útočník asi nechce. To lze samozřejmě nějakým způsobem obejít.
Ještě mě zajímalo to "všechno smazal", nelze ani NetInstall. Poradíš, co tím asi myslel? mpcz, 28/9/2018

[hlavva]

Tak bohužel mám nejspíše také jeden.
Chyba se projevila po upgrade na 6.43.2
6.43.1 jelo ok.

Zařízení standardně posílá data a provoz jede dá se původním heslem přihlásit na bandswidth test.
Ale není dostupný ani web ani winbox login.

Zařízení bylo dostupné z internetu na portu 32000 pouze web interface.

[whef]

Pisi jen kratce z telefonu. Upgrade verze rosu a biosu nepomuze. Jinak o tom ze neni neco ok uz vime dele na podezrelych tikach prehrany verze hesla kontrola skriptu nic neukazala. Pristupy blokovany na dve servisni IP. Nakaza tam drime a na nejaky povel to zacne z wlanu posilat 2-7MB dat. Infekce cislo tri myslim presmeruje pocitace na nejaky webovky kde se to snazi na pozadi nainstalovat tezbu kryptomen. Pokud tam neni eset tak to pc vetsinou nepozna.