Pokusy o přihlášení na Mikrotiky

[Dalibor Toman]

Můžu poprosit od zdrojovou IP adresu ?

ve vsech screenshotech je 103.1.221.39
ale treba nase sit s nim nemela za posledni dny zadnou komunikaci

[hapi]

What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

co znamená nezabezpečený router? Dá se považovat web přihlášení přes heslo za nezabezpečený?

[goblajz]

Tak si tam nalej 6.42.1

What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)

[honzam]

What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu

v6.42.1 and v6.43rc4 have been released! They fix the vulnerability.Bugfix coming soon as well.

[arrabbella]

Tak si tam nalej 6.42.1

What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;

Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu

...a nebo si tam nalej nějakou ověřenou 6.38 a starší. Problém by měl být až od 6.39.

EDIT: Aha, je to už od 6.29.

[fujara]

...a nebo si tam nalej nějakou ověřenou 6.38 a starší. Problém by měl být až od 6.39.

Tie vyhlasenia mikrotiku o tom ze je to len od tej a tej verzie, ze treba zmazat admina, zablokovat pristup z inych IP su podla mna len tapanie v tme a velice by som im neveril. Doposial nam nevysvetlili ako poznat ktore zariadenie je napadnute? Vie to vobec niekto? A nevieme ani aku ulohu ma ta binarka a co to bude robit ked sa to spusti. Mimochodom ta binarka je skompilovana pre vsetky platformy od x86 az po tile?

[Dalibor Toman]

Tie vyhlasenia mikrotiku o tom ze je to len od tej a tej verzie, ze treba zmazat admina, zablokovat pristup z inych IP su podla mna len tapanie v tme a velice by som im neveril. Doposial nam nevysvetlili ako poznat ktore zariadenie je napadnute? Vie to vobec niekto? A nevieme ani aku ulohu ma ta binarka a co to bude robit ked sa to spusti. Mimochodom ta binarka je skompilovana pre vsetky platformy od x86 az po tile?

poznat napadeni nemusi byt z naseho pohledu mozne - na urovni k jake nas pusti winbox, CLI apod nemusi byt nic videt. Jen neprime dukazy na bazi pozorovani (sniffer, torch, CPU zatez atd). K realnemu systemu (souborovy system a systemove utility) nemame pristup...
dnstest je pry jen dropper - tedy neco co umi stahnout a spustit neco dalsiho. Takze az se to skutecne rozjede, muze ten napadeny MT delat uplne cokoliv (stejne jako u predchozi chyby s problematickym WWW serverem)

Co se tyce prohlaseni o tom , ktere verze jsou napadnutelne nam nezbyva nez MT verit - dokud se neprokaze neco jineho

[hapi]

check-installation nikdo napadnutej nezkoušel?

[rsaf]

Podle dostupných informací to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů na základě čehož se pak útočník přihlásí přes winbox. Prozatím si nemyslím, že hýbe "s něčím někde uvnitř" - to by neměnil nastavení služeb a firewallu tak, že je to vidět.

[ludvik]

Si neumím představit žádný buffer overflow, který by dokázal vyčíst soubor na disku. Ale budiž.
Odkud máš informaci o SSH? To jsem ještě neslyšel, řeší se jen Winbox. Je to i pravděpodobnější, protože SSH démona si snad sami nepsali.

... to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů ...

[Dalibor Toman]

Si neumím představit žádný buffer overflow, který by dokázal vyčíst soubor na disku. Ale budiž.
Odkud máš informaci o SSH? To jsem ještě neslyšel, řeší se jen Winbox. Je to i pravděpodobnější, protože SSH démona si snad sami nepsali.

... to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů ...

buffer overflow muze umoznit spusteni Tveho vlastniho ASM kodu, ktery propasujes jako soucast hesla apod. Pripadne spustis jiz existujici kod v dane aplikaci. Muze se ti podarit spustit primo terminal nebo nejaky povel na odeslani dat....

[mrazek609]

check-installation nikdo napadnutej nezkoušel?

V napadeným routeru píše "installation is ok"

[hapi]

Podle dostupných informací to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů na základě čehož se pak útočník přihlásí přes winbox. Prozatím si nemyslím, že hýbe "s něčím někde uvnitř" - to by neměnil nastavení služeb a firewallu tak, že je to vidět.

kde si vzal ssh? já všude vidim winbox. Z toho to důvodu mikrotik už delší dobu pracuje na stahování dll z routeru který už winbox 3.13 nedělá.

[rsaf]

Odkud máš informaci o SSH?

Soryy, s tím ssh jsem se upsal. Samozřejmě se jedná o winbox.

[Kaja]

Tak to je docela problem.
Predpokladal jsem, ze "check-installation" projde cely filesystem a najde tam jakykoliv soubor, ktery tam byt nema.

Jedina sance je ta, ze v tvem mikrotiku zadny cizi soubor (krom Mikrotikackeho prostoru FILES) neni ulozen. A ze to "napadeny router" znamena pouze skutecnost, ze do adresare FILES nahral nejaky script, ktery se pokusil neco zapsat a to se nepodarilo.
O necem takovem pise Normis
------------
No. These files were found in the RouterOS files directory. You can't run binaries or scripts from there. It seems the attacker though he will copy them inside RouterOS system to run them, but failed to do so. You can even see it inside the script, that there are actions that were supposed to be done, but obviously failed (like deleting of these files).When a previously discovered vulnerability was fixed, we closed any options to run scripts and copy files inside other directories. This is why in this case, the attacker has uploaded something to the RouterOS Files folder (like you can also), but has failed to do anything else.
------------

Druha varianta (ta nejhorsi) je, ze ten 'vir' modifikoval script "check-installation" aby skryl sve soubory.

check-installation nikdo napadnutej nezkoušel?

V napadeným routeru píše "installation is ok"