Pokusy o přihlášení na Mikrotiky

[mena]

Dá se nějak zjistit, že je router infikovaný - tedy po útoku router lehne <<<nebo>>>> pracuje dál, je přeheslovaný a vykonává síťový provoz nadále a dál se šíří (nemá nastavený nějaký odpočet a potom si lehne?)

[krystofklima]

dá se na to přijít jen pomocí spuštění klasického linuxového řádku na MikroTiku (BASH) pomocí doinstalované jiné image např. OpenWRT
zde je třeba jeden návod, sám jsem to nikdy nezkoušel, na mě příliš složité a stejně je to jedno a nedoporučovaný postup, může se ztratit licence.

http://blog.rchapman.org/posts/Getting_ ... uterBoard/

[mena]

Kolegové, rád bych Vás tímto požádal o podporu v následující věci:
Bohužel, jak je vidno, Mikrotik již několikrát selhal se svým vyjádřením, že od verze 6.xxx je již problém vyřešen a zjistil, že má další a další chyby. Přičemž se obecně o chybě ví již dlouho. Dosavadní řešení Mikrotiku považuji za velice laxní (pouze deklarace: nahrajte si novou verzi...). Například celá řada poskytovatelů nemá zřízen přístup z WAN do domácích GW (a to hlavně z bezpečnostních důvodů) a tedy musí jak pitomci jezdit a opakovaně měnit verze OS přímo u zákazníků.
Pokud je mezi Vámi někdo s dobrými vazbami přímo na Mikrotik, vyzvěte ho, že je nejlepší kdyby k tomu začal přistupovat konečně odpovědně. V první fázi bychom potřebovali urychleně utilitu, která využije všech dostupně známých děr. Zadali bychom do vstupu rozsahy IP adres, utilita by provedla scan a našla napadené routery, případně routery, které nejsou napadeny, ale nemáme do nich přístup z WAN. Dále by utilita provedla opravu a zabezpečení ROS.
Pokud tedy někdo z Vás může vznik takovéto utility ovlivnit, zkuste to.
Ostatní, pokud v tomto vidíte smysl, tak to tady prosím podpořte.

[mirek.k]

Já jsem určitě pro, i když s Mikrotikama asi nehneme.
Mirek

[krystofklima]

ještě další aktuální info. množí se další dotazy. problém již jen se mnou řeší alespoň 20sítí
jsou tu firmy, co mají 6.41.3. a jsou infikované. Pozor, jak píšu je třeba NETINSTALL. ne upgrade ROS tam partition zůstane !!!
a další mají po netinstallu ovšem obnovu z backupu a taky problém !!!
je třeba po netinstalu použít pouze EXPORT !!! ten je textový a bez viru

díra je i v samotném SSH, MikroTik v minulých verzích to má i v changelogu
ssh - fixed SSH service becoming unavailable;
ssh - generate SSH keys only on the first connect attempt instead of the first boot;
ssh - improved key import error messages;
ssh - remove imported public SSH keys when their owner user is removed;

A CCR+PC používají nové klíčování od v 6.41.3
ssh - do not use DH group1 with strong-crypto enabled;
ssh - enforced 2048bit DH group on tile and x86 architectures;

[MartinT]

Virus je nyní velmi systematický, napadá stroje po SSH čímž si testuje přístup. Dále využije chybu přetečení bufferu NetBiosu (tedy blokace IP protokolu nepomůže) a lokálně po L2 vrstvě napadá okolní stroje.

..

POZOR vir se šíří chybou SMB overflow popsanou výše, tedy blokace IP protokolu ve firewallu nepomůže !!!

Tvrzení "blokace IP protokolu nepomůže" se mi moc nezdá. Odkazovaný článek o "smb-buffer-overflow" ukazuje zneužití pomocí TCP/IP spojení na port 139. Firewall by to IMHO měl zastavit.

NetBIOS lze provozovat i přes protokol NetBEUI, což je nonIP věc, ale jen v lokální síti. SMB na RouterOS nepoužívám, nevím tedy, jestli v rámci zapnutí SMB pak router zpracovává i NetBEUI pakety. Toto vaše tvrzení lze vykládat, že ano. Je to tak ?

A defaultně je služba SMB vypnutá, takže se IMHO nedá uvedeným způsobem zneužít. Nebo je to jinak ?

S pozdravem

[iTomB]

Krystofe a jeste jeden poznatek. Vir by se mel sirit pomoci SMB, ale ty v uvodu pises, ze zneuzije SSH. Jak?

Ani v tom externim popisu o SSH neni jedina zminka.

Diky
Tom

[krystofklima]

dle toho článku se využije chyby přetečení bufferu. tedy zřejmě na to reaguje MikroTik i s nezapnutým SMB
vypadá to tak, jelikož se napadjí touto infekcí jen routery lokálně.

Jinak ohledně SSH je to další chyba, inzerovaná před chvílí ISPADMINem

http://www.networkinghowtos.com/howto/m ... x-service/
https://www.bleepingcomputer.com/news/s ... cord-time/
to je také opraveno, ale to dokonce až 6.42.1

toto nemá ještě ani CVE číslo na CORESECURITY. vypadá to, že někdo se po UBNT loni snaží i o MikroTiky

[Selič]

​dle toho článku se využije chyby přetečení bufferu. tedy zřejmě na to reaguje MikroTik i s nezapnutým SMBvypadá to tak, jelikož se napadjí touto infekcí jen routery lokálně.Jinak ohledně SSH je to další chyba, inzerovaná před chvílí ISPADMINemhttp://www.networkinghowtos.com/howto/m ... x-service/https://www.bleepingcomputer.com/news/s ... cord-time/to je také opraveno, ale to dokonce až 6.42.1toto nemá ještě ani CVE číslo na CORESECURITY. vypadá to, že někdo se po UBNT loni snaží i o MikroTiky

Tohle by mě zajímalo - jestli prvotní útok přijde z internetu skrz veřejnou IP adresu nebo to přijde zevnitř skrz zavirované PC uživatele za Mikrotikem.

[K3NY]

Kolegové, rád bych Vás tímto požádal o podporu v následující věci:
Bohužel, jak je vidno, Mikrotik již několikrát selhal se svým vyjádřením, že od verze 6.xxx je již problém vyřešen a zjistil, že má další a další chyby. Přičemž se obecně o chybě ví již dlouho. Dosavadní řešení Mikrotiku považuji za velice laxní (pouze deklarace: nahrajte si novou verzi...). Například celá řada poskytovatelů nemá zřízen přístup z WAN do domácích GW (a to hlavně z bezpečnostních důvodů) a tedy musí jak pitomci jezdit a opakovaně měnit verze OS přímo u zákazníků.
Pokud je mezi Vámi někdo s dobrými vazbami přímo na Mikrotik, vyzvěte ho, že je nejlepší kdyby k tomu začal přistupovat konečně odpovědně. V první fázi bychom potřebovali urychleně utilitu, která využije všech dostupně známých děr. Zadali bychom do vstupu rozsahy IP adres, utilita by provedla scan a našla napadené routery, případně routery, které nejsou napadeny, ale nemáme do nich přístup z WAN. Dále by utilita provedla opravu a zabezpečení ROS.
Pokud tedy někdo z Vás může vznik takovéto utility ovlivnit, zkuste to.
Ostatní, pokud v tomto vidíte smysl, tak to tady prosím podpořte.

proc by mel MK delat nejaky script. ten si napise i cvicena opice

[MartinT]

Jinak ohledně SSH je to další chyba, inzerovaná před chvílí ISPADMINem

http://www.networkinghowtos.com/howto/m ... x-service/
https://www.bleepingcomputer.com/news/s ... cord-time/
to je také opraveno, ale to dokonce až 6.42.1

toto nemá ještě ani CVE číslo na CORESECURITY. vypadá to, že někdo se po UBNT loni snaží i o MikroTiky

Na mne trochu moc paniky.

ISPAdminem odkazované články (jejich post s funkčními odkazy https://ispforum.cz/viewtopic.php?p=230796#p230796) jsou z 24/4/2018. Den poté co Mikrotik vydal verze 6.40.8 a 6.42.1 jako security release opravující chybu ve winboxu (https://forum.mikrotik.com/viewtopic.php?f=21&t=133533).

Pokud to je stejná věc, SSH se používá jen pro potvrzení, že se jedná o RouterOS. Průnik jde skrz Winbox. Po úspěšném průniku jsou provalené názvy účtů a hesla k nim (je tedy třeba je změnit a to všude kde jsou používané).

[K3NY]

jenom na okraj ROS nizsi nez 6.12 tim zda se netrpi, respektive vim o nekolika MT s touto verzi se zaplym www telnet ssh atd. a porad si jich nikdo krom klasickych IP scanneru nevsima, zadny podezrely datovy tok z nich nechodi. Vzhledem k tomu ze na jinem MK s vyssi verzi se stejnym rozsahem IP se problém uz objevil a resil, mam za to ze chyba je u vyssich verzi. PS. FW ty MK ani nemaji.

[mpcz]

Zdravím, no je zajímavé sledovat, jak se tady autoři předhánějí ve varováních před virem, popisem možných řešení a už jenom z několika proti sobě jdoucích vysvětlení je jasné, že to dokonale jasné není velice nikomu. Jelikož mě taky ne, měl bych prostý dotaz: má už někdo spolehlivou detekci napadeného systému? (Ten dotaz tu již byl několikrát, ale nějak jsem nezahlédl kloudnou odpověď). Protože - reinstalovat desítky strojů, navíc z image lokálně je neskutečný opruz a věřím tomu, že to bude hodně lidí odkládat, jak to půjde. Ale - pokud budu pozitivně vědět, že stroj je napadený, téměř jistě to udělá každý. Děkuji, mpcz, 16.5.2018

[Dalibor Toman]

ja bych rekl, ze operovat se SMB je mozne, ale nesmyslne. Predpokladam, ze pokud je zakazana tak opravdu sluzba nebezi. A pokud nebezi tak nejaka zranitelnost v jejim kodu nemuze slouzit k napadeni boardu (bez pristupu k CFG toho MT).

No je mozne, ze konecne prisla odpoved na nekolikrat vznesenou otazku: "a k cemu ty naskenovany udaje z nasich MT nekomu budou?". Databaze hesel se jiz naplnila a je na poradu dne ji vyuzit. Pak si tu sambu muze utocnik po prihlaseni i povolit, aby se mu snaze hackovalo

[Myghael]

...
Například celá řada poskytovatelů nemá zřízen přístup z WAN do domácích GW (a to hlavně z bezpečnostních důvodů) a tedy musí jak pitomci jezdit a opakovaně měnit verze OS přímo u zákazníků.
...

Poněkud off-topic, ale přesto si dovolím rýpnutí - přístup z WAN na management zařízení má vypnuté u klientů snad každý, ale speciálně u mikrotiku snad nemůže být takový problém si do firewallu přidat jedno pravidlo a tím si zprovoznit přístup například výhradně z dohledového centra (pokud dotyčný subjekt něco takového má) nebo nějaké kanceláře - nějaké sídlo či "kutloch" nebo minimálně sklad snad musí mít úplně každý, kdo poskytuje připojení k internetu, nebavíme-li se tu o výlupcích v paneláku co sdílí nějakou rychlejší domácí linku (kabelovka, optika, etc.) sektorkou na balkóně.