Pokusy o přihlášení na Mikrotiky

[mpcz]

OK, už asi někomu tato poznámka bude připadat obehraná, ale v první řadě by měl Sergej vyrobit (byť by v malém množství) indikátor "zavirování". Sice se tu někteří kolegové předhánění ve výrazech, jak je to jednoduché, ale zatím jsme neviděli/neslyšeli ani náznak. Možná divná otázka: kolik byste, při těch problémech s havarujícím upgrade, popř. s reinstalem dali za správně pracující indikátor s názvem s funkcí: "je zavirováno, není zavirováno, je napadnutelné, není napadnutelné"? Já bych situaci nepodceňoval. Představa, že se tvůrce projektu rozhodne "shodit" všechny stroje na Zemi naráz, může být docela zábavná. A jelikož nikdo neví, co všechno umí v ROS zařídit bez našeho vědomí, viděl bych to jako docela reálné. Každopádně to nevypadá na nějakého domácího kutila. Děkuji, mpcz 17.5.18

[mena]

od mpcz » 24 minutes agoOK, už asi někomu tato poznámka bude připadat obehraná, ale v první řadě by měl Sergej vyrobit (byť by v malém množství) indikátor "zavirování". Sice se tu někteří kolegové předhánění ve výrazech, jak je to jednoduché, ale zatím jsme neviděli/neslyšeli ani náznak. Možná divná otázka: kolik byste, při těch problémech s havarujícím upgrade, popř. s reinstalem dali za správně pracující indikátor s názvem s funkcí: "je zavirováno, není zavirováno, je napadnutelné, není napadnutelné"? Já bych situaci nepodceňoval. Představa, že se tvůrce projektu rozhodne "shodit" všechny stroje na Zemi naráz, může být docela zábavná. A jelikož nikdo neví, co všechno umí v ROS zařídit bez našeho vědomí, viděl bych to jako docela reálné. Každopádně to nevypadá na nějakého domácího kutila. Děkuji, mpcz 17.5.18

Přesně. Souhlasím. Každopádně je to teď na Mikrotiku. Opakovaně tvrdili, že jsou díry již vyřešeny v několika verzích a zatím to nebyla nikdy pravda. Situace zašla již tak daleko, že bez nějakého sofistikovaného čistícího nástroje může oprava (nějakou další verzí OS) trvat poměrně dlouho a hrozí fatální škody, jakmile se tvůrce viru rozhodne "zhasnout".

[Kaja]

A muzes poskytnou nejake relevantni info k deravosti 6.42.1( nebo 6.40.8 ) ?
Tzn nejake masivnejsi hlaseni o napadeni na foru MKtiku? Nebo info, kde "je to potvrzeno".
Pripadne prispejte podrobnostmi nekdo, koho tato "nova" infekce postihla.


Informace o pruniku pres "smb-buffer-overflow" pri vypnutem sbm mi neprijde realna.

Mate jistotu, ze se jedna o zneuziti nejake nove chyby, nebo je to jen vyuziti hesel, ktera byla zsikana pri vyuziti nejake minule zranitelnosti a admin Mktiku sice upgradeoval na 6.42.1(nebo 6.40.8 ), ale hesla nezmenil. Nebo si nevsiml dalsiho pridaneho uzivatele.

K.

Nevím proč provádíte upgrade...

Verze 6.42.1. je taktéž děravá! Ale o tom už tady informoval pan Klíma a je to potvrzeno.

Řekl bych, že je to teď na Mikrotiku, už by konečně měl začít něco v tom dělat.

[honzam]

Nevím proč provádíte upgrade...

Verze 6.42.1. je taktéž děravá! Ale o tom už tady informoval pan Klíma a je to potvrzeno

Nevím to téma od pana Klímy je dost nejasné. Jsou změněna hesla na mikrotiky ale nikdo nenapsal jaké verze tam byly nainstalovány? Opravdu 6.42.1? Nebyla zapnutá samba? Neuhodl jen někdo heslo a pak ho přepsal?
Na oficiálním mikrotik foru zatím ani zmíňka a pokud se něco takového provalí tak se to hned řeší...

[CrazyApe]

dotaz: jakou umrtnost mate pri upgradu mikrotiku?
V kusech to je nezajimave cislo, spis v procentech.

Kdyz vychzim z minulych zkusenosti a toho, ze pred updatem mikrotika zrestartuji, pak updatnu - a ve vysledku mi cca 2% mikrotiku umrou (potazmo vetsinou je staci manualne restartnout) tak automaticky upgrade neprichazi v uvahu.

Pro nekoho to totiz znamena 2 APcka, pro nekoho 50 radii a to je dosti neunosne.

Naposledy jsem updatoval kompletně celou sít z 6.38 na 6.39.2 cca 850 mikrotiku klientských + cca 200 prvků na síti a jel jsem k jednomu zakaznikovi prehravat prez netinstall.

[Dalibor Toman]

OK, už asi někomu tato poznámka bude připadat obehraná, ale v první řadě by měl Sergej vyrobit (byť by v malém množství) indikátor "zavirování". Sice se tu někteří kolegové předhánění ve výrazech, jak je to jednoduché, ale zatím jsme neviděli/neslyšeli ani náznak. Možná divná otázka: kolik byste, při těch problémech s havarujícím upgrade, popř. s reinstalem dali za správně pracující indikátor s názvem s funkcí: "je zavirováno, není zavirováno, je napadnutelné, není napadnutelné"? Já bych situaci nepodceňoval. Představa, že se tvůrce projektu rozhodne "shodit" všechny stroje na Zemi naráz, může být docela zábavná. A jelikož nikdo neví, co všechno umí v ROS zařídit bez našeho vědomí, viděl bych to jako docela reálné. Každopádně to nevypadá na nějakého domácího kutila. Děkuji, mpcz 17.5.18

nemyslim, ze je realne, aby MT napsal nejaky univerzalni nastroj detekujici zavirovani, natoz aby fungoval vzdalene. Infekce po uspesnem utoku, muze danou bezpecnostni diru zavrit. Pokud bude soucasti instalace nejaky detektor bezinfekcnosti systemu, pravdepodobne bude mozne jej pri pruniku 'opravit' tak, aby tvrdil, ze system se tesi nejlepsimu zdravi.

A chtit po vyrobci, aby zverejnil nastroj, ktery by umoznil hacknout jeho vlastni zarizeni... Opravdu Ti to prijde normalni?

Mikrotik by mel vydavat jasna prohlaseni - aby bylo jasne, ze k problemu doslo, ktere verze jsou problematicke, zda existuje nejaky workaround, ktery problem resi (vypnuti ip services www apod) a hlavne makat na odstraneni problemu. Udalosti z posledni doby IMHO ukazuji, ze se Mikrotik chova transparentne a reaguje rychle.

Mozna se objevily nejake nove chyby, ktere nejsou jeste opraveny a jsou jiz zneuzivany, ale zatim mam spise pocit, ze to tak neni. Mozna ma p. Klima pravdu, ale svadeni problemu na (nikym nepouzivane) SMB jeho informacim dost ubira na verohodnosti.

Urcite z te spousty ISP co se obratilo na p. Klimu sleduje nekdo tohle forum - muze nekdo z nich popsat co se delo s jeho MT? Pripadne nejak podporit tvrzeni, ze posledni uvolnene verze ROSu jsou derave?

[mpcz]

to Dalibor Toman: ano, přijde mi to normální, pouze s tím rozdílem, že nemusí fungovat na principu haknutí, ale jako součást jeho SW, třeba i po upgrade. Asi těžko říci, jak, (zvláště pro mě), ale to je snad jeho problém. Pokud bych byl autorem ROS, asi bych věděl, jak na to. Oni určitě ví, co ten vir dělá a nemůže být problém s tímto vědomím najít stopy po napadnutí - ty tam být musí. Samozřejmě, z venku se to špatně hledá. Ale on je může hledat zevnitř a to je velký rozdíl. A kromě toho, byly tady nějaké hlášky, že to napíše i cvičená opice, tak i oni by se mohli ukázat, že .. A ještě jedna věc. Když si nastražím MKT na veřejku a dám scanovat jen port 8291, uvidím za pár vteřin desítky "útoků", kdosi tu psal, že stačí nahodit scaner provozu a z toho by se asi dalo vyčíst, co ten vir dělá. Samozřejmě to musí udělat ten, kdo to umí. mpcz, 17.5.2018

[Ladik]

Timto bych chtel pozadat cvicenou opici, aby napsala utilitu na detekci jestli je dany MikroTik zavirovany nebo ne nebo alespon at se muzu podivat, zda tam je ta druha partition.
PS: banany hradim

[Dalibor Toman]

to Dalibor Toman: ano, přijde mi to normální, pouze s tím rozdílem, že nemusí fungovat na principu haknutí, ale jako součást jeho SW, třeba i po upgrade. Asi těžko říci, jak, (zvláště pro mě), ale to je snad jeho problém. Pokud bych byl autorem ROS, asi bych věděl, jak na to. Oni určitě ví, co ten vir dělá a nemůže být problém s tímto vědomím najít stopy po napadnutí - ty tam být musí. Samozřejmě, z venku se to špatně hledá. Ale on je může hledat zevnitř a to je velký rozdíl. A kromě toho, byly tady nějaké hlášky, že to napíše i cvičená opice, tak i oni by se mohli ukázat, že .. mpcz, 17.5.2018

tech viru muze byt spousta druhu (kazdy zaskodnik potrebuje neco jineho). Detekovat, ze byla zmenena binarka lze jen pokud by byla nejak verohodne podepsana. Ale utocnik muze upravit tu funkci, ktera kontroluje podpisy, takze bude vse OK i pri infekci. Navic na linuxu existovali viry, ktere se dokazaly skryt (zmanipulovany kernel a souborove sluzby), netusim jak je na tom kernel v ROSu a CPU v boardech (jake ochrany, pokud vubec proti tomu poskytuji). Takze pripadnynastroj na detekci infekce v ROSu by take mohl jen vyvolavat falesny pocit sucha a bezpeci.
PS: Nerad bych, aby se Mikrotik zmenil v antivirovou firmu. BTW ktery jiny vyrobce operacnich systemu dokaze, rict, ze v systemu neni to, co tam byt nema? Jasne ROS ma tu vyhodu, ze zadne aplikace 3tich stran se do nej nedostanou ale i kdyz omezime vyrobce na vyriobce sitovych prvku tak asi nic nenajdes.
To s tou cvicenou opici bylo dost prehnane tvrzeni (nebo nepochopeni prispevku na ktery bylo reagovano). Exploit opice nenapise ale pokud by mela k dispozici funkcni exploit tak obalit je nejakym skriptem neni tezke. Na netu se da najit exploit na SMB problem (ten je k nicemu, IMHO), exploit na problem s WWW (ten funguje jen pokud je uplne bezvetri a malo skrvn na slunci) a o exploitu na winbox zatim nevim.

[mpcz]

Timto bych chtel pozadat cvicenou opici, aby napsala utilitu na detekci jestli je dany MikroTik zavirovany nebo ne nebo alespon at se muzu podivat, zda tam je ta druha partition.
PS: banany hradim

Vtipné. Jinak, spojení na tyto mimořádně nadané opice má kolega K3NY - tam se musíš obrátit. mpcz, 17.5.2018

[Invia]

Nechápu, proč se tady řeší nějaká utilitka, která má testovat napadený mikrotik. Pokud jsou informace od pana Klímy správné, nejspíš virus má root práva na to, aby vytvořil novou partition. Aby jsi zjistil, zdali je na mikrotiku tento oddíl, musel by si buď znovu projít hackovací proces, použít návod pomocí openwrt nebo by v mikrotiku museli udělat nějaké api. Ani jedna z možností ale nedává smysl. Nevím, proč si nechávat v síti zařízení, o kterém vím, že tam daná chyba je. Prostě upgraduju na verzi, kde je chyba fixnutá a je po problému. Žádné "odvirovací utility" a podobné zhovadilosti prostě k ničemu nebudou. Ohledně odvirování již zavirovaného tiku o to se musí postarat mikrotik sám. Ale od určité verze testuje všechny soubory a ty které tam nepatří, automaticky maže. Asi jen pánové zapomněli, že jde vytvořit nový oddíl na disku. Ale vzhledem ke správnému postoji vúči poslední zranitelnosti ve winboxu si myslím, že po poskytnutí supout file popřípadě přístupu k napadenému zařízení to budou schopni vyřešit další verzí.

Podle mě se pánové z Mikrotiku zachovali správně a udělali vše, aby byla zranitelnost co nejdřív odstraněna. Pokud někdo nechal vystavené zařízení na veřejné IP po takovou dobu, nechráněné firewallem, je to jeho blbost.

[george.tu]

Nechápu, proč se tady řeší nějaká utilitka, která má testovat napadený mikrotik. Pokud jsou informace od pana Klímy správné, nejspíš virus má root práva na to, aby vytvořil novou partition. Aby jsi zjistil, zdali je na mikrotiku tento oddíl, musel by si buď znovu projít hackovací proces, použít návod pomocí openwrt nebo by v mikrotiku museli udělat nějaké api. Ani jedna z možností ale nedává smysl. Nevím, proč si nechávat v síti zařízení, o kterém vím, že tam daná chyba je. Prostě upgraduju na verzi, kde je chyba fixnutá a je po problému. Žádné "odvirovací utility" a podobné zhovadilosti prostě k ničemu nebudou. Ohledně odvirování již zavirovaného tiku o to se musí postarat mikrotik sám. Ale od určité verze testuje všechny soubory a ty které tam nepatří, automaticky maže. Asi jen pánové zapomněli, že jde vytvořit nový oddíl na disku. Ale vzhledem ke správnému postoji vúči poslední zranitelnosti ve winboxu si myslím, že po poskytnutí supout file popřípadě přístupu k napadenému zařízení to budou schopni vyřešit další verzí.

Podle mě se pánové z Mikrotiku zachovali správně a udělali vše, aby byla zranitelnost co nejdřív odstraněna. Pokud někdo nechal vystavené zařízení na veřejné IP po takovou dobu, nechráněné firewallem, je to jeho blbost.

blbá otázka, jak vytvoříš supout file v mikrotiku, kde Ti vir změnil heslo a nedostaneš se do něj? to samé když ho mikrotiku zpřístupníš na dálku a nemáš k němu přihlašovací údaje?
Upgraduješ na verzi, kde je chyba fixnutá - a ty víš která to 100% je? Mikrotik tvrdil, že je to od určité verze fixnuté a pokud jsem dobře četl i poslední stable verze může mít chybu, - někdo řiká ano, někdo ne, takže? mám upgradovat 1600 mikrotiků na základě domněnky? proto čekám na ofiko vyjádření od mikrotiku, které by se fakt hodilo...

[mpcz]

to Invia: Tak jsi nám osvětlil, jak jsme zhovadilí a blbí, Mikrotik dokonalý. OK, máme tu demokracii. I když tomu technicky vůbec nerozumím, mám svůj rozum a jen s tím hledám v tom tvém příspěvku alespoň zbla pravdy a snahy, jak to vyřešit. Marně. mpcz, 18.5.2018

[Invia]

blbá otázka, jak vytvoříš supout file v mikrotiku, kde Ti vir změnil heslo a nedostaneš se do něj? to samé když ho mikrotiku zpřístupníš na dálku a nemáš k němu přihlašovací údaje?
Upgraduješ na verzi, kde je chyba fixnutá - a ty víš která to 100% je? Mikrotik tvrdil, že je to od určité verze fixnuté a pokud jsem dobře četl i poslední stable verze může mít chybu, - někdo řiká ano, někdo ne, takže? mám upgradovat 1600 mikrotiků na základě domněnky? proto čekám na ofiko vyjádření od mikrotiku, které by se fakt hodilo...

Ajoo... Jsem to ale blbec .
Ano všechno jsou to domněnky, ale minimálně chyba s winboxem je v nejnovější verzi fixnutá. Zas se mi ale nezdá, že pokud by byla nová chyba, která začala hromadně napadat mikrotiky, nikdo by nic nenapsal na mikrotik foru.

to Invia: Tak jsi nám osvětlil, jak jsme zhovadilí a blbí, Mikrotik dokonalý. OK, máme tu demokracii. I když tomu technicky vůbec nerozumím, mám svůj rozum a jen s tím hledám v tom tvém příspěvku alespoň zbla pravdy a snahy, jak to vyřešit. Marně. mpcz, 18.5.2018

Proč na sebe vztahuješ slovo "zhovadilost" v mém příspěvku, které není na nikoho mířeno? Jen jsem napsal, že psát takový program, který byl "popsán" o několik příspěvků výše je zhovadilost. Nedošel jsem se hádat ani obhajovat Mikrotik a už vůbec ne někoho urážet. Ale žádný software není bez chyb, otázka je, jak se vývojář k dané chybě postaví.
A nevím, co chceš pořád řešit. Podle p. Klímy došlo ke zneužití staršího exploitu navíc v SMB protokolu, který asi moc lidí na MT nepoužívá. Nevím, co rozumnějšího je, než upgradovat na verzi, která danou chybu opravuje?
Podle coresecurity byl navíc tento exploit opraven před vydáním popisu dané chyby. Proč si teda nechávat na síti zařízení, se zapnutým SMB, na veřejné IP (ano sice se routery potom napadají po LAN, ale nějak se to do sítě z venku dostat muselo) a s vědomím, že je tam bezpečnostní díra? Nebo to opravdu chceš program, který ti musí červeně vypsat "Device is vulnerable"?

[Filipová Ludmila]

A muzes poskytnou nejake relevantni info k deravosti 6.42.1( nebo 6.40.8 ) ?
Tzn nejake masivnejsi hlaseni o napadeni na foru MKtiku? Nebo info, kde "je to potvrzeno".
Pripadne prispejte podrobnostmi nekdo, koho tato "nova" infekce postihla.


Informace o pruniku pres "smb-buffer-overflow" pri vypnutem sbm mi neprijde realna.

Mate jistotu, ze se jedna o zneuziti nejake nove chyby, nebo je to jen vyuziti hesel, ktera byla zsikana pri vyuziti nejake minule zranitelnosti a admin Mktiku sice upgradeoval na 6.42.1(nebo 6.40.8 ), ale hesla nezmenil. Nebo si nevsiml dalsiho pridaneho uzivatele.

K.

Nevím proč provádíte upgrade...

Verze 6.42.1. je taktéž děravá! Ale o tom už tady informoval pan Klíma a je to potvrzeno.

Řekl bych, že je to teď na Mikrotiku, už by konečně měl začít něco v tom dělat.

Tak třebas u mne instalace předevčírem stroje RB 3011 s novým posledním FW dopadla špatně stroj po 12 hodinách byl vyměněn a aktuálně leží na stole u nás.
Jinak pár postřehů v Files se objevuje složka web proxy. IP adresy jsou různé z kterých to přichází. 3011 to odnesly ponejvíce, pak 1009 a 1x 1016.
Co se týká děr tak můžeme začít tou která je přímo v samotném linuxu na kterém to běží a ví se o ní roky. Jinak psaní programů a sw mne je cizí. Ale pokud si to přirovnám na svoje tak prodřenej kabel si také vyměním, abych měla klid a nečekám, až upadne. To je to tak složité dopsat to co mám blbě nebo je to jen o nechtění? Nebo má MK jiný průser, že mu nějaký zhrzený vývojář čmajzl zdrojáky a ted se mstí?
Jinak pokud se zamyslíme komu všemu nahrává to co se děje. Konkurenční výrobci, velcí telko operátoři jak v prodeji služeb tak i HW vy tu máte mk, ale to my vám k té službě (za patřičný peníz) dodáme naše stroje. takže primárn to je o nasraných klientech. Jen mimochodem v kterých státech - zemích se to šíří. Možná by to mohlo více říct jestli je to něčí zájem. A nebo je to jen zlý útočník.
LF