MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[K3NY]

na github je (urcite tam byval, jestli tam jeste je presne nevim) i zdrojak muzes si ho zkusit stahnout

https://github.com/BigNerd95/RouterOS-Backup-Tools ?

btw k cemu je dobre misto /export compact pouzivat /system backup?[/quote]
backup kopiruje vsechno vcetne mac address na ifce, heslo do MK atd.

[Rosak]

A třeba i certifikáty atd..

[Dalibor Toman]

Ano, technicky naprosto správně (jen to umět). Přesto:
Sergej mi psal: nahrát novou verzi, změnit heslo. Stejně se to stalo. Podle mě se má ON starat o všechny varianty a zabudovat ochranu do nové verze. Na to má tým lidí a prakticky neomezené finance, čas a co hlavně - přístup ke zdrojům ROS. Zdá se mi, že nás popasoval na pokusné králíky a co nejhorší, někteří to začínají přijímat. mpcz, 6.6.2018

Sergej nema k dispozici Tvuj napadeny MT. O vsechny varianty se muze starat jen pokud, je uz videl nebo az do velikosti sve predstavivosti (a chuti implementovat neco, co muze byt jen marneni casem, protoze ve skutecnosti je problem jinde). Pokud se nepokusis sehnat presvedcive argumenty, nema MT co opravovat. Pokusnyma kralikama jsme vsichni, ale muzes byt uzitecnym pokusnym kralikem - pomuzes sobe i ostatnim - pokud budes ochoten supportu venovat nejaky cas a sesbirat pro ne tvrdsi data, ktera je presvedci, ze je tu problem, ktery je treba resit a privedou je i na zpusob reseni.

[mpcz]

Ano, to zní rozumně, jak přesně bych ten čas měl promarnit? Například: najdu zamklý RB, nelze se přihlásit, takže neudělám absolutně nic. Napsal jsem Sergejovi - odpověď: nezbývá než tvrdý reset. NIC jiného. Jak by měla vypadat ta užší spolupráce na vyšší úrovni?
Já bych to udělal takto (kdybych to uměl a měl ty informace a prostředky): nahodím na veřejky pár RB s upraveným ROS, který má zadní vrátka do systému. Počkám pár minut (dnů) až se zamkne, pak do něj vlezu a nastuduji, co ten vir dělá.
Během těch pár dnů sleduji tisíce útoků, které dělají v podstatě to samé a jasně musím vidět proces prolomení. Z toho vyplyne i systém obrany.
Dále by bylo dobré vyřešit ten problém při upgrade, kdy se některé nakažené stroje po upgrade na "bezpečnou" verzi dokolečka restartují a musí se tam jet osobně. A protože zatím nemáme "indikátor nakažení", tak je tu toto riziko i nadále. Mě stačily dva případy s velmi obtížným přístupem k zařízení a Sergejovi se muselo škytat. Kdyby aspoň poslal flašku Stoličné. Ostatně, i kdyby jsme indikátor měli, jak provedeme upgrade na bezpečnou verzi?
Také bych si představoval soustředění aktuálních ověřených informací ohledně tohoto problému na jedno očekávané místo. Informace z nich lezou jak z chlupaté deky, něco je na fórech, něco je pravda, něco ne. Ne každý má čas pečlivě sledovat "What''''s new in 6.xx.x", nehledě na to, že kolikrát neví, co si pod tím zjednodušeným popisem má přesně představovat. mpcz, 7.jun.2018

[mpcz]

Ku tym aktualizaciam ktorym po update na verziu 6.42.xxx sa stale restartuje RB. Musite najprv napr z verzie 5.xx alebo 6.xx nahrat najprv 6.41.3 kde mate stary Bios verzie napr 3.32 a tak pod. po update uz na 6.41.3 ist do update routerboard a tam budete mat uz verziu BIOSu 6.41.3 upgradnut BIOS a po restarte budete mat BIOS v. 6.41.3 a potom smelo na 6.42.2 ci ako to je. Ja som si tak odpalil 3 RB ale netinstall pomohol.Takze zhrnutie nahrat 6.41.3 - update BIOS - restart - nahratie 6.42.xx

Toto už mě taky začíná vytáčet. Ti, kteří se tak vehementně zastávají verze, že se výrobce skoro nepřetrhne v pomoci zákazníkům, viděl někdo nějakou zmínku od výrobce ohledně tohoto problému? Popř., byl by problém do nového "bezpečného" SW vložit kontrolu, která mě upozorní na nevhodnou kombinaci verzí při upgrade, která vede k restartům nebo reset defaultu - následně projížďka? Nic jsem zatím neviděl.
Tuto část firmy jsem se snažil konstruovat a organizovat tak, že mi doposud zabrala jednotky procent mého času a nyní nedělám nic jiného než upgraduji, netinstaluji, jezdím na místo upgradovat, netinstalovat atd. atd. mpcz, 8.jun.2018

[dxtx]

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:


backup.jpg
datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

Nyní jsem našel stejně podezřelý backup file jako zde uvádíš viz screen.
Je vyloučeno, že by byl backup vytvořen z mojí strany...
Na mikrotiku žádná podezřelá aktivita není.
je možné že i přesto je router napadený?
Děkuji

[Dalibor Toman]

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:


backup.jpg
datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

Nyní jsem našel stejně podezřelý backup file jako zde uvádíš viz screen.
Je vyloučeno, že by byl backup vytvořen z mojí strany...
Na mikrotiku žádná podezřelá aktivita není.
je možné že i přesto je router napadený?
Děkuji

kristalovou kouli nemam ale
skript z https://github.com/0ki/mikrotik-tools/b ... it_full.sh se pokousi vyrobit backup file na MT presne v tom formatu jako ho vidim v Tvem screenshotu:
"jb_$$_$RANDOM.backup"

Takze je IMHO dost jiste, ze heslo k MT je prozrazene (ten skript ho musi znat). Bud ho uhodli nebo ziskali z napadnutelne verze ROSu

edit: teoreticky by nyni (pokud byl instalovan ten jail break exploit) ted ten mikrotik na telnet mohl umoznit prihlaseni do devel modu (user:devel, heslo od admina) - videl bys shell z linuxu ne Mikrotik CLI

[mpcz]

Dík, zdá se, že na tom něco bude. Sice tomu dopodrobna nerozumím, možná by to chtělo více rozpitvat, ale čemu už vůbec nerozumím, je to, že Sergej mi napsal, že ten soubor vznikl přirozenou cestou. Moc jsem tomu nevěřil a teď o to míň. Dalo by se to více ozřejmit, pro ty méně chápavé, co ten skript dělá? A třeba i popis celého předpokládaného děje od počátku i když je to zatím pouze teorie? A proč tam vůbec ten backup útočník potřebuje? Cca 3 dni před tím incidentem tam byla verze 6.42.1 a změněno heslo, které nikde jinde nebylo. Že by ho uhodl, tomu moc nevěřím. Dík. mpcz, 8.jun.2018

[dxtx]

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:


backup.jpg
datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

Nyní jsem našel stejně podezřelý backup file jako zde uvádíš viz screen.
Je vyloučeno, že by byl backup vytvořen z mojí strany...
Na mikrotiku žádná podezřelá aktivita není.
je možné že i přesto je router napadený?
Děkuji

Dodatek: ještě jsem si všiml že firewall byl kompletně smazaný (až na 2 pravidla pro blokování DNS open resolver)..
Bude se řešit výměnou zařízení a následné kompletní smazání a přehrání přes netinstal
o tom, že vznikl soubor přirozenou cestou silně pochybuji...
Pro zajímavost: na mikrotiku je firmware: 6.41.2

[Dalibor Toman]

Dík, zdá se, že na tom něco bude. Sice tomu dopodrobna nerozumím, možná by to chtělo více rozpitvat, ale čemu už vůbec nerozumím, je to, že Sergej mi napsal, že ten soubor vznikl přirozenou cestou. Moc jsem tomu nevěřil a teď o to míň.

pokud ten file mel jmeno ve stejnem tvaru tak silne pochybuju - ledaze by nejaky autobackup v MT vytvarel podobne jmeno (backup nepouzivame netusim). Pokud zadny autobackup v ROSu neni (nechova se podobne) pak by Sergej mel zavetrit pokud by mu nekdo ukazal ten github repository

Dalo by se to více ozřejmit, pro ty méně chápavé, co ten skript dělá? A třeba i popis celého předpokládaného děje od počátku i když je to zatím pouze teorie? A proč tam vůbec ten backup útočník potřebuje? Cca 3 dni před tím incidentem tam byla verze 6.42.1 a změněno heslo, které nikde jinde nebylo. Že by ho uhodl, tomu moc nevěřím. Dík. mpcz, 8.jun.2018

moc jsem to nestudoval ale vypada to, ze backup resp restore backup mechanismus je pouzivat k tomu exploitovani. Utocnik musi mit pristup na MT (jmeno/heslo) aby byl schopen vyrobit backup file. Ten si stahne, pak na nej posle skript (exploit_b.py), ten backup file zmodifikuje. Soubor se nahraje zpet na MT a pak se udela restore (system backup load...), ktery vyuzije nejakou bezpecnostni diru v mechanismu aplikovani backupu a je to. Pak by mel fungovat devel mode = primy shell v telnetu. zatim jsem nezkousel ale asi to nebude marne - podivat se jak vypada linux od MT zevnitr

K cemu to utocnik potrebuje? Jakmile ziskal shell pristup primo k linuxu, muze si delat co chce. Instalovat libovolne binarky, menit CFG. Cili idealni pro botnet...

na forum.mikrotik.com ani v changelozich jsem nenasel ze by se to resilo tak jsem se pro sichr zeptal:
https://forum.mikrotik.com/viewtopic.php?f=2&t=135423

[mpcz]

Ano, nedovedu to posoudit do hloubky, ale vypadá to srozumitelně. První, co bych udělal, kdybych to uměl, je výroba zadních vrátek. Velice rád bych se mrkl, co je v MKT, (pokud je samozřejmě něco čitelné), který je uzamklý změnou hesla a proč to vlastně dělá. mpcz, 08.jun.2018

[Dalibor Toman]

Ano, nedovedu to posoudit do hloubky, ale vypadá to srozumitelně. První, co bych udělal, kdybych to uměl, je výroba zadních vrátek. Velice rád bych se mrkl, co je v MKT, (pokud je samozřejmě něco čitelné), který je uzamklý změnou hesla a proč to vlastně dělá. mpcz, 08.jun.2018

tak modifikace backupu spociva pry v pridani ../../../nova/etc/devel-login/ takze to docela ukazuje na zadni vratka MT vyvojaru. Je mozne, ze ten backup file musi mit i zvlastni jmeno - pak bych se nedivil, ze ze supportu nekdo napise, ze backup soubor vznikl normalni cestou

[Kaja]

Muzete nekdo decryptovat ten jb_$$_$RANDOM.backup a poslat sem tu sekci tykajici se devel-login?
Zajimalo by mne jak tam dosahli toho vytvoreni ../../../nova/etc/devel-login.
Devel pristup pomoci ../../../nova/etc/devel-login je stara vec. Jen vytvareni tohoto souboru je jiz pomerne striktne hlidano. Ale zapomeli asi ohlidat procesy pri obnove configu z backupu.

K.

[mpcz]

Jak? Chtěl jsem to po Sergejovi, ale ten to prohlásil za "jeho" dílo a ani se nenamáhal. Písmenka ale ještě rozpoznám, takže si myslím, že na tom "develu" něco je, co stojí za prozkoumání. Jsem přesvědčen, že se kolega Toman ubírá správným směrem. mpcz, 8.jun.2018

[Dalibor Toman]

Muzete nekdo decryptovat ten jb_$$_$RANDOM.backup a poslat sem tu sekci tykajici se devel-login?
Zajimalo by mne jak tam dosahli toho vytvoreni ../../../nova/etc/devel-login.
Devel pristup pomoci ../../../nova/etc/devel-login je stara vec. Jen vytvareni tohoto souboru je jiz pomerne striktne hlidano. Ale zapomeli asi ohlidat procesy pri obnove configu z backupu.

K.

https://github.com/0ki/mikrotik-tools/b ... ploit_b.py