MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[johnyboi]

můžeš použít exploit sám a hacknout si to zpátky je tu o tom napsáno víc než dost

bezi tam 6.42.7 to uz asi nepujde. Spis sem myslel jestli nekdo neprisel na nejaky trik z netinstallem.

[puchnar]

Ja mel v nastavení firewallu hlášku ať si do určitého data aktualizuji router jinak mē ho zamkne, dal jsem novou mašinu a aktualizoval.

20181006_183819.jpg

Tohle je "mírumilovný vir". V tmto případě stačilo restnout do továru d

[Pelirob]

Zdravím,
všimli jste si že ti šmejdi si pravděpodobně vyměňují adresy úspěšně napadených mikrotiků? Zažil jsem dva napadené mikrotiky (Netinstall a obnova konfigurace). Aplikoval jsem pravidlo od Mohyho {vřele dekuji} a nechávám ho logovat na syslog server. Z původních 7 IPček jich dneska je asi 50 a všechny tupě zkouší přístupy na IP adresy těch původně napadnutých mikrotiků. Naposledy dneska večer zase 3 nové IP adresy.
Několik dalších mikrotiků v síti si vesele žije a nikdo je nikdy "neotravoval".

Zdravím,
přidám nějaké poznatky do mlýna, určitě se může někomu hodit - testoval jsem WinboxExploit a na základě analýzy komunikace mezi serverem a napadeným mikrotikem jsem vytvožil následující FW pravidlo, které útok spolehlivě překazí. Mám ho preventivně cca 14 dní na několika routerech a dropy vesele přibývají. Na tomto principu si můžete udělat src a dst address list a uvidíte odkud a na co vám ten bordel leze.

Kód: Vybrat vše

/ip firewall filter
add action=drop chain=forward comment=WinboxExploit-drop content=\
   /flash/rw/store/user.dat dst-port=8291 protocol=tcp


Seznam IP, které zranitelnosti využívají se zatím ustálil na 7ks:
198.100.28.129
185.53.91.23
178.128.26.75
95.170.220.162
93.174.93.173
91.183.33.194
80.50.125.170

Upgradujte na nové verze mám spolehlivě odskoušené 6.42.6 a 6.42.7, které tomuto útoku odolávají.

Ještě jedna zajímavost, zkoušel jsem útok proti verzi 6.28 architektura mipsbe a exploit vyčetl i hesla která již byla dávno změněna. Výpis obsahoval 3x účet admin a hesla, která v zařízení opravdu v minulosti byla, ale pro přihlášení už nejsou platná.

[mpcz]

Zdravím, mohl by prosím někdo trošku podrobněji rozebrat význam a účinnost tohoto opatření? Děkuji, mpcz, 10.10.2018

[pavelsiman]

Zdravím. Skúšal niekto spustiť winbox exploit na windows?

[mpcz]

Zdravím. Skúšal niekto spustiť winbox exploit na windows?

Jede to ve Win10 bez problémů a hned. Ten co jsem zkusil, umí i diakritiku v hesle. mpcz, 10/10/2018

exploit_for_Windows.jpg (62.51 KiB) Zobrazeno 4066 x

[mpcz]

Zdravím, v jednom stroji jsem si po odemknutí všiml v logu poměrně neobvyklého zalogování přihlášení Winboxu, kde se vždy vyskytne 6-7 řádků. Je to běžný úkaz? mpcz, 10/10/2018

log_7x.jpg (49.44 KiB) Zobrazeno 4017 x

[goblajz]

Jestli máš na pozadí otevřený 6x terminál tak to možné je...

[mpcz]

Děkuji, nemám otevřený žádný další terminál. Pokud se stejně přihlásím na jiný stroj, je to tam jen jednou. Nějaký další nápad k prověření? Děkuji. mpcz, 10.10.2018

[K3NY]

Zdravím, v jednom stroji jsem si po odemknutí všiml v logu poměrně neobvyklého zalogování přihlášení Winboxu, kde se vždy vyskytne 6-7 řádků. Je to běžný úkaz? mpcz, 10/10/2018
log_7x.jpg

tezko rict, koukni do loggovani jestli tam neni nejake pravidlo vicekrat, pokud jsou ty konzole aktivni jsdou videt v system->scripts->jobs

[mpcz]

Dík, v jobs-ech jsem něco takového viděl, to by mohlo souviset i ten počet mám dojem odpovídal, ale neviděl jsem tu souvislost s přihlášením. mpcz, 10/10/2018

[whef]

Tak už se k něčemu konečně ofiko vyjádřil i Mikrotik. https://blog.mikrotik.com/security/new- ... ility.html

[Dalibor Toman]

Tak už se k něčemu konečně ofiko vyjádřil i Mikrotik. https://blog.mikrotik.com/security/new- ... ility.html

pokud ctu dobre, tak vsechny ty diry v ROSu v prohlaseni od Tenable k pouziti vyzaduji znalost hesla:

All of these vulnerabilities require authentication (essentially legitimate credentials)

https://www.tenable.com/blog/tenable-re ... s-routeros

Navic se jedna o 'stare' veci resene jiz v 6.40.9, potazmo 6.42.7. Takze zase nic o tom, ze by existovala nejaka nova dira umoznujici napadnout ROS bez znalosti hesla novym dosud neznamym zpusobem.

[whef]

Já jsem to asi úplně nepochopil, alespoň tak jak to chápu já je to pořešeno až od Verze 6.42.7 a co tam psali tak třeba 6.42.3 to prolomily takže pokud mám na dosti části sítě 6.42.6 který se mi zatím zdál nejvíce stable, i když testuji i 6.42.7 s 43.2 tak tam mi to zatím moc dobře nefunguje.

Tak už se k něčemu konečně ofiko vyjádřil i Mikrotik. https://blog.mikrotik.com/security/new- ... ility.html

pokud ctu dobre, tak vsechny ty diry v ROSu v prohlaseni od Tenable k pouziti vyzaduji znalost hesla:

All of these vulnerabilities require authentication (essentially legitimate credentials)

https://www.tenable.com/blog/tenable-re ... s-routeros

Navic se jedna o 'stare' veci resene jiz v 6.40.9, potazmo 6.42.7. Takze zase nic o tom, ze by existovala nejaka nova dira umoznujici napadnout ROS bez znalosti hesla novym dosud neznamym zpusobem.

[honzam]

Však to je pořád ta samá díra. Opravená v dubnu. Jenom se teď se zneužitelnostmi roztrhl pytel protože uživatelé neupgradují. Jediné co jim zbývá je informovat, informovat