MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[ludvik]

Mikrotik tvrdí, že upgrade na opravenou verzi "virus" zruší. Zůstane logicky jen konfigurace, ale binárně to bude opravené.
---

Já to tu už jednou něco takového navrhoval. Někdo ze sítě, která byla prokazatelně byla napadena musí vzít nový routerboard (tedy ... fyzicky možná lépe starý, se starou verzí ROS) který NIKDY nebyl v provozu. V bezpečí upgradovat na poslední verzi - a vystavit na veřejku. Pak se uvidí, zda někdy něco přijde.
Jako kontrolní mrchu tam bude vhodné ve stejný čas vrazit i verzi špatnou.
A pak se uvidí.

Sice se asi bude blbě takový RB shánět (možná by to řešily CHR verze), ale jinak se z těchto fám nevyhrabeme. Pokud budou nakažené i nové, tak jsem ochoten přispět na zásilku do Lotyšska ...

Je mi dost divné, že tady spousta lidí brečí, ale po internetu se mi tyto informace potvrdit prostě nedaří.

[whef]

K poslednímu komentář, je pravda, že na netu moc věcí není. MK mlží, spousta lidí přijde na to, že má nějaký problém až časem, nebo nemají sítě na veřejkách či to mají dobře zabezpečený. Jinak jsme se tento týden bavily s lidmi z Esetu a prý detekují spousty narušení od MK, několik tisíc. Veřejně ale nikde nic moc není.

[ludvik]

Já dokonce psal do CSIRT.CZ, ať to zahrnou mezi nějaké honeypoty. Prý to zkusí, ale skutek utek ...

[whef]

Máš nějaký problémy ?
Našel jsem třeba toto, ale to by se nás týkat snad nemělo.

Já dokonce psal do CSIRT.CZ, ať to zahrnou mezi nějaké honeypoty. Prý to zkusí, ale skutek utek ...

https://blog.mikrotik.com/security/secu ... nable.html

[whef]

z CSIRTU jsem našel toto, jen pro info. V poslední době bylo zaznamenáno četné zneužívání zranitelnosti CVE-2018-14847 na zařízeních MikroTik. Zranitelnost byla opravena v rámci aktualizací z dubna letošního roku, nicméně zařízení, které nemají čerstvé aktualizace, se na Internetu stále vyskytují. Netlab 360 uvádí, že více jak 7500 těchto zařízení odposlouchává své majitele a přeposílá data útočníkům. Mezi nejčastěji odposlouchávané pak patří porty číslo 21 (FTP), T143 (IMAP – e-mail), a 110 (POP3 – také e-mail).

[ludvik]

Já problémy nemám ... Jenom mě přišlo vhodné, když už CSIRT obesílá LIRy ohledně všelijakých bugů (ať už malware jako andromeda, nebo třeba open DNS, nebo špatné SSL), tak by mohl na honeypoty nasadit (resp. někdo, od koho to agregují) i sledování winboxu. CZ prostor by to mohlo docela vyčistit.

[tomasegert]

Dobrý den,
jak nejlépe zabezpečit rb se starým router os (6.32.3) - s aktuálním router os se rb kouše.
Mám do netu firewall, v IP service pouze winbox na vysokém portu a dlouhé heslo, které jinde nepoužívám.
Dík Tomáš

[Dalibor Toman]

Poslední verze a napadení.

podle toho vypisu z torch je akorat videt, ze zrejme bezi dost packetu s IP z netu smerem k tomu Mikrotiku. Nic vic. Netusim jestli je to provoz, ktery skrz routing/nat leze pak do LANu nebo konci na tom MT. Mozna tam je/byl povoleny SOCKS server (nebo web proxy) a ten byl zneuzit k rozesilani spamu apod. Neni videt cisla portu nevime jestli to nechodi az k nejakemu zakaznikovi (resp od nej). Netusime jak vypada(l) firewall. Alespon Input pravidla bys postnout mohl. Pokud mozno bez upravy (IP uz jsi stejne vykecal v oznaceni sesion z Winboxu)

[Dalibor Toman]

Mikrotik tvrdí, že upgrade na opravenou verzi "virus" zruší. Zůstane logicky jen konfigurace, ale binárně to bude opravené.
---

Já to tu už jednou něco takového navrhoval. Někdo ze sítě, která byla prokazatelně byla napadena musí vzít nový routerboard (tedy ... fyzicky možná lépe starý, se starou verzí ROS) který NIKDY nebyl v provozu. V bezpečí upgradovat na poslední verzi - a vystavit na veřejku. Pak se uvidí, zda někdy něco přijde.
Jako kontrolní mrchu tam bude vhodné ve stejný čas vrazit i verzi špatnou.
A pak se uvidí.

Sice se asi bude blbě takový RB shánět (možná by to řešily CHR verze), ale jinak se z těchto fám nevyhrabeme. Pokud budou nakažené i nové, tak jsem ochoten přispět na zásilku do Lotyšska ...

Je mi dost divné, že tady spousta lidí brečí, ale po internetu se mi tyto informace potvrdit prostě nedaří.

tvrde informace o tom, ze opravene verze maji nejakou diru proste nejsou. Vsechno jsou to zatim jen famy. V siti mame napadene jen MT, ktere si koupil zakaznik jako vlastni wifi. Co jsem nasel, to jsem opravil upgradem na 6.40.8 ci 6.40.9 (na dalku - zadny netinstall). Par jsem ji nechal schvalne bez firewallu a beze zmeny admin hesla (zakaznici maji verejku) a zatim zadny z nich nevykazuje znamky napadeni = zadne skripty, co tam nemaji byt, zadny provoz co by byl podezrely.

[mpcz]

Zdravím, nevím, jestli jsem to všechno dobře pochopil, ale mám dotazy:
- proč na 6.40.8-9 a ne pozdější? Je pro to nějaký důvod?
- když po upgrade a "odvirování" stroje zůstalo původní heslo a nic špatného se neděje, naznačuje to, že roboti nepoužívají systém "zjistím heslo, poznačím si ho a použiji až/ještě v budoucnu"? Nebo tento stroj ještě nepřišel znovu na řadu? Jak dlouho je tam nastrčen? Děkuji, mpcz, 29/9/2018

[hapi3]

předpokládáš že máme věšteckou kouli?

Faktem zůstává že než to člověk upgradnul tak už heslo bylo známo. Tim to končí. Jakákoliv další debata je vo ničem.

Dalším faktem je že ačkoliv se tu dělalo cokoliv, přišlo se na totální h*vno. Je tady mrdník na 39 stran.

Jediný co funguje je upgrade a zkontrolovat konfiguraci a změnit heslo. Tak si to sakra zapište nejlépe na čelo.

[ludvik]

Z hlediska bezpečnosti je to nejnovější verze. Ty číselně vyšší mají "problém" v hw offloadingu bridge. Resp. s tím mají problém ti, co v tom vidí moc velký blackbox ... třeba já. Otázkou je, jak dlouho tuhle řadu budou udržovat.

- proč na 6.40.8-9 a ne pozdější? Je pro to nějaký důvod?

[mpcz]

to Hapi: Děkuji za rady.
- nepředpokládám. Důvodně však očekávám vyšší znalost diskutovaného problému u kolegů, než mám já. Obzvláště a nejen u kolegy D.T.
- ukončení debaty nech prosím na těch, co se ptají. Ptají se proto, aby se něco dozvěděli. Nestalo se ti nikdy, že jsi tady alespoň někdy vynášel kategorické soudy nebo zpochybňoval cizí myšlenky a přitom prezentoval úplné nesmysly? Děláš, jako by to fórum patřilo tobě. Nepatří.
- pokud jsi přišel na TH, neznamená to, že je tomu tak u všech. Jsou zde i začátečníci jako já a především kolegové, co píší k věci, jasně, výstižně a především slušně. Já jsem tu našel mnohdy dobré nápady nebo alespoň návody k nápadu. K tomu kritizovanému počtu 39. stran přispíváš především sám takovými příspěvky jako tento tvůj poslední a pokud to znovu budeš psát i nadále přes jeden řádek, tak těch stran bude ještě více.
- "jediné, co funguje je ...". Umíš NAPSAT SW a zlomit heslo třeba z 6.42.x a dále? Až se ti to podaří, zjistíš, že tvé kategorické tvrzení ne vždy funguje a že lidi mystifikuješ. mpcz, 29/9/2018

[hapi3]

napíšu ti to znova aby si to pochopil především ty. 10 stránek dozadu se tu píše furt to samí. Furt dokola a mě už nebaví tu číst kraviny dokola a dokola abych se nic nedozvěděl a náhodou nepřehlídnul že někdo našel další díru. I větší zvířata než sem já se mě prostě ptají co s tim a z tohodle bordelu co tu je se nedá vyčíst nic. Mikrotik píše verzi v jaký je oprava, hack nástroje tim neprojdou a tim je to vyřešený. Pokud i přesto se mikrotik chová divně, zkontroluješ si nastavený, uděláš si export, pročteš si ho kde co někdo napáchal a případně to prostě přemázneš netinstalem a změníš heslo. HOTOVO. Žádnej další problém není a žádný další řešení taky ne. Mikrotik dokonce píše postupy tak proč se tu dál zabejvat něčim co je vyřešený. Jenom se to tu nafukuje a nikdo už nechce nic číst zpět.Jestli tohle prostě někdo nedokáže pochopit tak sorry ale další debata je prostě úplně vo hovně a je to ztráta času.

předpokládáš že máme věšteckou kouli?

Faktem zůstává že než to člověk upgradnul tak už heslo bylo známo. Tim to končí. Jakákoliv další debata je vo ničem.

Dalším faktem je že ačkoliv se tu dělalo cokoliv, přišlo se na totální h*vno. Je tady mrdník na 39 stran.

Jediný co funguje je upgrade a zkontrolovat konfiguraci a změnit heslo. Tak si to sakra zapište nejlépe na čelo.

[mpcz]

No s takovou těch stránek bude ne 39, ale mnohem víc. Na něco jsem se ptal, opověď na otázky nikde a odpovědí je pouze zas a jen papouškování toho již řečeného, přičemž se zdůrazňuje, že protistrana ničemu nerozumí. Ale ta tentokrát rozumí moc dobře. mpcz, 29/9/2018