MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[profik]

Ahoj všem, prosím o pomoc také se nemůžu připojit na MT, konkrétně slouží jako překlad adres, je první v cestě za routrem od hlavního poskytovatele konektivity.ach jooo.a díky za rady.

[hapi]

V tomto nemám zatím úplně jasno, co ale vím zatím jistě, je:
- mám tu v šuplíku pár RB, které fungují zdá se normálně, ale netinstall se na nich nedaří. Různé verze jsem zkoušel, nic. Tabulka kompatibility RB-bios-Netinstall od Sergeje není.
- fleška s biosem není blokovaná, zkoušel jsem různé části přepsat a evidentně ROS nedělá ani kontrolní součet, což bývá jinde běžné. Vyvozuji z toho, že pokud zájemce o blokaci bude vědět, co kde je, může se mu podařit to celé cíleně shodit. mpcz, 12.oct.2018

přepsat čim? přes ros asi těžko. Přes nabootovanej jinej system lehko, proč by ne? Instalaci provádí netinstall co smaže vše a nasadí zdá se i novej bios. Ros aktualizuje vlastním procesem kde kontrola je. Řešíš blbosti.

Novej netinstall pro nový boardy jednoduše proto protože má v sobě pxe pro nový boardy. Pokud ti nefunguje netinstall, vem druhej mikrotik, nastav dhcp a přepni "bootp support" na dynamic. Pak nastartuj board a drž furt tlačítko a měl by se tam ukázat že si vzal ip. Pokud si veme tak je problém v pc s netinstalem což je běžný.

[mirek.k]

Obvykle vadí v počítači více síťových rozhraní, kdy NetInstall neví, kde má poslouchat.
Tedy buď vzít PC jen s jedním ethernetem, nebo vše ostatní dočasně zakázat.

[mpcz]

V tomto nemám zatím úplně jasno, co ale vím zatím jistě, je:
- mám tu v šuplíku pár RB, které fungují zdá se normálně, ale netinstall se na nich nedaří. Různé verze jsem zkoušel, nic. Tabulka kompatibility RB-bios-Netinstall od Sergeje není.
- fleška s biosem není blokovaná, zkoušel jsem různé části přepsat a evidentně ROS nedělá ani kontrolní součet, což bývá jinde běžné. Vyvozuji z toho, že pokud zájemce o blokaci bude vědět, co kde je, může se mu podařit to celé cíleně shodit. mpcz, 12.oct.2018

přepsat čim? přes ros asi těžko. Přes nabootovanej jinej system lehko, proč by ne? Instalaci provádí netinstall co smaže vše a nasadí zdá se i novej bios. Ros aktualizuje vlastním procesem kde kontrola je. Řešíš blbosti.

Novej netinstall pro nový boardy jednoduše proto protože má v sobě pxe pro nový boardy. Pokud ti nefunguje netinstall, vem druhej mikrotik, nastav dhcp a přepni "bootp support" na dynamic. Pak nastartuj board a drž furt tlačítko a měl by se tam ukázat že si vzal ip. Pokud si veme tak je problém v pc s netinstalem což je běžný.

Zatím v tom nemám úplně jasno, technický datasheet od CPU se mi nedaří zatím sehnat. Ale ty tvé kategoricky vyřčené argumenty, založené na existenci zástupu slepě věřících, jsou málokdy něčím podložené. Mohl bys prosím zdůvodnit třeba to, z čeho plyne tvé přesvědčení o CRC kontrole ROSem? Děkuji, mpcz, 13.10.2018

[mpcz]

Obvykle vadí v počítači více síťových rozhraní, kdy NetInstall neví, kde má poslouchat.
Tedy buď vzít PC jen s jedním ethernetem, nebo vše ostatní dočasně zakázat.

Ostatní adaptéry vypínám, pokusy končí nasazením jiného, "zdravého" kusu RB na stejný kabel, který jede bez problémů. mpcz, 13/10/2018

[hapi]

Zatím v tom nemám úplně jasno, technický datasheet od CPU se mi nedaří zatím sehnat. Ale ty tvé kategoricky vyřčené argumenty, založené na existenci zástupu slepě věřících, jsou málokdy něčím podložené. Mohl bys prosím zdůvodnit třeba to, z čeho plyne tvé přesvědčení o CRC kontrole ROSem? Děkuji, mpcz, 13.10.2018

updatoval si někdy mikrotika s připojeným seriákem nebo x86 mašinu? co se děje před tím než to updatuje? check balíčků který ti vyhodí když jsou poškozený! netiinstall je něco úplně jinýho.

Na co potřebuješ datasheet cpučka? fakt by mě zajímalo co vymejšlíš za kraviny. Něco prostě zatrhlo v routerboardu nastavení položku "protected routerboard" a pak nefunguje ethernet boot. Takže tady nevymejšlej konspirační teorie.

Kód: Vybrat vše

Protected bootloader
This is a new feature which allows the protection of RouterOS configuration and files from a physical attacker by disabling etherboot. It is called "Protected RouterBOOT".

fakt by mě zajímala tvoje konverzece s mikrotiky a s čim tě poslaly do pryč.

[mpcz]

Děkuji za vysvětlení, přiznám se, že tomu přesně nerozumím. Jako by ta odpověď byla na něco jiného. Předpokládám, že pro Kvalifikovaného útočníka není po napadení žádný problém dosunout do stroje další kód, pokud ví co, přepsat pár buněk paměti a Netinstall může být porušen, stroj funguje dál normálně, CRC v ROS na nic nepřijde, pokud tam vůbec je. Nemyslím, že ta varianta je úplně hloupá, dokud to někdo kvalifikovaně nevyloučí nebo nepotvrdí. Dle mého stojí za diskuzi.
Zkus si to sám, zkompilovat přepisovač, haknout, nahrát, spustit (co je zatím problém je, že po rebootu se to zase nespustí, to ale není vůbec nutné) a budeš mít toto:

hapi-hapi.jpg (48.02 KiB) Zobrazeno 4638 x

Něco mí říká, že to s tou kontrolou kontrolního součtu nebude tak žhavé. Ale nechám se (dokonce velmi rád) přesvědčit.
mpcz, 13/10/2018

[hapi]

ty mluvíš o kontrole bootloaderu, já o kontrole operačního systému. Operační system nebude kontrolovat bootloader, kontroluje jenom sám sebe. Nemůže vědět že si dal novější bootloader kterej nezná kterej nemá jak ověřit. Muselo by to být někde zapsaný v zařízení což je taky přepisovatelný takže na nic. Kdo upraví bootloader upraví i hash crcčka.

K čemu tohle vůbec je dobrý? nikam to nevede. Varianta je pouze nahrát do zařízení novej bootloader a pak přes to nahrát novej ros. Tim je oprava vyřešená u zařízeních který jsou totálně kaput.

[hapi]

co spíš zkusit featuru mikrotiku nazvanou "reformat-hold-button". Pak by to mělo provést kompletní reset totálně všeho a smazat nenávratně veškerou konfiguraci mikrotiku. Je to záloha pro to když se zamkne boot přes network a i přesto se nikdo ke konfiguraci nedostane a tohle jí totálně smaže a podle všeho nahodí netinstall.

[mpcz]

Začínám se bohužel ztrácet v tom množství zatím neověřených alternativ. Zaměřil bych se proto jen na tu klíčovou věc: kde je uložena část kódu, řídící netinstall? mpcz, 13/10/2018

[hapi]

jakýho kódu?

[tomasik]

čistě teoreticky, jak by to bylo, když jsem dejme tomu na jednom PC serveru "neustale" (teoreticky) připojen winboxem na RBcko a dojde k útoku/prepisu admina přes ktereho jsem stále připojen, odpoji me to nebo to mohu zase přepsat zpět v rámci toho "neutálého" spojení ? Pokud nedojde k odpojeni winboxu....

[Dalibor Toman]

čistě teoreticky, jak by to bylo, když jsem dejme tomu na jednom PC serveru "neustale" (teoreticky) připojen winboxem na RBcko a dojde k útoku/prepisu admina přes ktereho jsem stále připojen, odpoji me to nebo to mohu zase přepsat zpět v rámci toho "neutálého" spojení ? Pokud nedojde k odpojeni winboxu....

to si to nemuzes sam vyzkouset? Prihlas se 2x nebo si zmen heslo v terminalu. Nestane se skoro nic - jen nespustis nic, co vyzaduje prihlaseni (New Terminal)

[dvcompt]

ahoj všem, pochopil jsem správně že zbavit se toho zas... malware pomůže pouze upgrade přeš netinstall?
smazání scriptů a filtrů není řešení?
díky

[rsaf]

To bohužel nikdo přesně neví. Nákaz je mnoho variant, byly různě agresivní. Podle mě ve spoustě případů si útočník "jen" povolil http/socks proxy a zabezpečil router tak, aby se na něj již nedalo útočit (já měl třeba kus s vypnutým winboxem) ale jinak tomu nemusí nic být...