Pokusy o přihlášení na Mikrotiky

[Dalibor Toman]

Tak mám taky jeden router. Nijak zvláštně se ale nechová, ani žádná komunikace mimo běžnou.

zajimave, ze vsechny screenshoty, co byly doposud zverejnene, obsahuji stejnou IP adresu, ze ktere ten utok prisel. Asi zatim jen nekdo z Taiwanu provadi proof of concept testy.

[pgb]

Predpokladal bych, ze primarni obsluhu vsech sluzeb v prvni fazi dela nejaky obecny demon (inetd resp xinetd z linuxu), ktery provede kontrolu IP adres a pak teprve pripadne zavola binarku/skript obsluhujici konkretni sluzbu. Takze pokud neni zranitelnost primo v tom xinetd (sance je mensi, protoze ten demon jen prijme spojeni ci UDP packet a nemusi koukat na vlastni data, spusti cilovou binarku a pak jen prehazuje data) melo by omezeni IPcek stacit k tomu aby se napadnutelny winbox demon vubec nedostal ke slovu. Ale samozrejme to muze byt udelano i bez toho mezikusu s xinetd a pak by bylo na kazde sluzbe aby zkontrolovala povolena IP.

Ano, prostě nevíme, zkus tohle vysvětlit třeba apache2, tam ti apache odpovídá že nemáš přístup .......

[mrazek609]

Doplnění k včerejšímu napadnutému routeru.
RB951 SW: 6.41.3
ip services: API, SSH, Telnet a WEB zakázno. Winbox 8291 povolen jen na konkrétní rozsah IP!
ip firewal: blokován input pouze 22-23, winbox nebyl ve filter zakázán!
user: samozřejmě admin
pass: velmi silné (písmena, čísla, znaky)

Po hacknutí:
ip services - ssh, telnet a web povolen
ip firewall - přidány pravidla na prvních místech (viz. příspěvek ze včera)

jinak se nic zvláštního neděje, žádná komunikace tam nejede. Dokonce je provoz čistější než obvykle, to mě děsí nejvíc.

[honzam]

Winbox 8291 povolen jen na konkrétní rozsah IP!

Konkrétní rozsah povolen přes IP services? Vypadá to že vir toto omezení umí obejít.
Takže doporučuji winbox omezovat přímo ve firewallu a do doby než se to vyřeší tak zakázat port winboxu přímo na GW

[pgb]

Jo, ideálně tyhle informace pošli na support, tady to zapadne. Jinak díky moc za info, nejsem rád když mám pravdu s tím nastavení address v ip servicess

[ludvik]

Apache jo. Jenže když to uděláš na mikrotiku, tak je to odmítnuté dřív.
A z pohledu mikrotiku mi přijde jednodušší použít xinetd. Kromě webu to jsou všechno služby tak běžně fungující, spouštěné na žádost.

Ano, prostě nevíme, zkus tohle vysvětlit třeba apache2, tam ti apache odpovídá že nemáš přístup .......

[mrazek609]

https://forum.mikrotik.com/viewtopic.php?f=21&t=133533

[Invia]

Podle normise ve výše uvedeném topicu staci v ip services povolit jen vybrané IP.

[mrazek609]

Koukal jsem na to a v mém případě to teda nestačilo.

ip service jsem měl u winboxu povolen jen LAN rozsah a jednu veřejnou IP z kanclu.

[Dalibor Toman]

Koukal jsem na to a v mém případě to teda nestačilo.

ip service jsem měl u winboxu povolen jen LAN rozsah a jednu veřejnou IP z kanclu.

btw: protoze zatim vsechny vypisy, co jsem videl obsahovaly jednu konkretni IP adresu v logu uspesneho prihlaseni, vubec bych se nedivil, kdyby dusledkem toho utoku bylo, ze se zaloguje jako zdroj tahle konkretni IP adresa ackoliv zdroj utoku prisel jinudy - treba z tech povolenych siti v services

[mrazek609]

Konkrétně za tímto napadeným routerem jsou z LAN strany jen 3 IP kamery Hikvision a 1x NAS synology.
Moc se mi nezdá, že by to šlo přes povolené rozsahy. Ale už bych se nedivil ničemu

[honzam]

Konkrétně za tímto napadeným routerem jsou z LAN strany jen 3 IP kamery Hikvision a 1x NAS synology.
Moc se mi nezdá, že by to šlo přes povolené rozsahy. Ale už bych se nedivil ničemu

V tvém případě to vypadá prostě na WAN útok. A IP services to nechrání...

[Insider]

Můžu poprosit od zdrojovou IP adresu ?

[goblajz]

What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

[Insider]

What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu