Upozornění na botneta napadajícího ROS <6.38.4

Oznámení a diskuse ke konkrétním verzím.
mrazek609
Příspěvky: 161
Registrován: 7 years ago

Re: Upozornění na botneta napadajícího ROS <6.38.4

Příspěvekod mrazek609 » 5 months ago

Jen velké množství pokusů vždy po cca 30-ti minutách, ale do routeru se nedostali. Viděl jsem to poprvé včera.
0 x

Grul
Příspěvky: 40
Registrován: 3 years ago

Příspěvekod Grul » 5 months ago

moc nerozumím, co se tu přesně řeší s tím co je a není napadnutelné, když píšou menší ros jak 6.38.4.
Normis na MK foru jasně píše:
affected:
- Webfig with standard port 80 and no firewall rules
- Winbox has nothing to do with the vulnerability, Winbox port is only used by the scanners to identify MikroTik brand devices. Then it proceeds to exploit WEBFIG through port 80.

takže dle těchto slov by mělo úplně stačit vypnout webfig, protože přes ten to napadají, ostatní porty a služby na MK slouží jen k nalezení zařízení.
Ověřovat zda je napadnutelná i třeba 5.26, předpokládám že ano když má webfig, tak se k tomu i stavím.
0 x

Uživatelský avatar
hapi
Příspěvky: 11360
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 5 months ago

výbornej přístup :-D

tady jsou detaily který by měl pochopit i mpcz
https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
0 x

mpcz
Příspěvky: 2084
Registrován: 12 years ago

Příspěvekod mpcz » 5 months ago

Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018
0 x

iTomB
Příspěvky: 708
Registrován: 12 years ago

Příspěvekod iTomB » 5 months ago

mpcz píše:Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018


Nauc se anglicky, nebo si to preloz ... je to tam polopate napsane :D
0 x

neverhappy
Příspěvky: 531
Registrován: 12 years ago

Příspěvekod neverhappy » 5 months ago

Zdravim
Prehraval jsem klientske jednotky na verzi 6.40.6 a u rb711 sel ping do zavratnych vysek. Po nahrati na 6.38.7 ok. viz obrazek
U disc, lhg sxt atd vse ok.
Takze ne vsechny odladene verze jsou funkcni pro vsechny jednotky. Uznavam ze rb711 je uz dedecek a postupne je menim.
6.40.6 vs 6.38.7.PNG
6.40.6 vs 6.38.7.PNG (80.37 KiB) Zobrazeno 1046 x
0 x

Dalibor Toman
Příspěvky: 1178
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 5 months ago

mpcz píše:Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018


aby nedoslo k nakazeni staci mit zakazane v ipservices www a zrejme i www-ssl. Pripadne je firewallovat ale ze vsech stran takze je lepsi to vypnout - muze dojit k nakazeni z povolenych IPcek
zatim jsem nevidel zadny stary ROS nakazeny (5.X ci starsi). Ale u nas v siti nemame problem s nasimi MT ale vyhradne jen s temi co maji zakznici jako wifi router - protoze se na ne negeneruje cfg automatem a take nad nimi nemame kontrolu. Takze ten vzorek nemusi byt reprezentativni.
Takze zakazat www slervery a dalsi nepotrebne services a udelat firewall tak, aby se na ten MT dostal jen co nejmensi pocet IP

Jak se pozna nakaza?
- pokud je k dizpozici graf datoveho toku tak na malo zarizenych linkach je okamzite videt rovna cara odchoziho a mensiho prichoziho toku, ktery sken aktivita infekce zpusobuje
- slabsi desky maji CPU nekde u 100% (typicky hAP Lite)
- pokud je klid (nikdo pres MT nestahuje), tak ma deska datovy tok jen portem otocenym do netu. Sniffer na tom portu nebo Torch se zapnutym zobrazenim portu ukaze pokusy na pripojeni na 23 (telnet) 8291 (winbox) ci 7547 (TR-069). To je generovany s IPckem toho MT
- parkrat jsem videl na nakazanych skriptech v script/jobs bezet po 2 neznamych skriptech - ale na dalsich MT jsem nic takoveho nenasel.

a k desinfekci staci nahrat dostatecne novy ROS (pocinaje 6.38.5 stable, 6.37.5 bugfix), ktery smaze vse co nepatri k ROSu.

Btw: protoze zakaznici jsou plni hAP Litu a hEX Litu, ktere maji jen 16MB flash, narazil jsem na kusy, ktere nemely na flashce prakticky nic viditelneho a presto bylo volne misto jen 4MB - vypadalo to jako by ten vir sezral dost mista na flashce (z skryne casti). Nahrat tam ROS scpckem neslo. Ale kdyz jsem spustil çheck for update z system packages,tak se to podarilo nahrat a dokonce po rebootu i upgradovat. Cili nekde hapruje pocitani volneho mista = neni treba se hned vzdat a myslet na lokalne provedeny netinstall
0 x

Uživatelský avatar
Selič
Příspěvky: 667
Registrován: 8 years ago
antispam: Ano

Příspěvekod Selič » 5 months ago

Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018


Zakázat v services www a telnet a pokud možno zakázat i ve firewallu. Několik kusů s 5.26 a 6.32, co dožívají na veřejkách přežívají bez nákazy.
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."

Uživatelský avatar
hapi
Příspěvky: 11360
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 5 months ago

neverhappy píše:Zdravim
Prehraval jsem klientske jednotky na verzi 6.40.6 a u rb711 sel ping do zavratnych vysek. Po nahrati na 6.38.7 ok. viz obrazek
U disc, lhg sxt atd vse ok.
Takze ne vsechny odladene verze jsou funkcni pro vsechny jednotky. Uznavam ze rb711 je uz dedecek a postupne je menim. 6.40.6 vs 6.38.7.PNG


máme i první RB711 a tohle tam neni a to jedem na 6.41.3 takže nějakej tvůj lokální problém.
0 x

rsaf
Příspěvky: 676
Registrován: 11 years ago

Příspěvekod rsaf » 5 months ago

Každopádně Mikrotiku chybí nějaká LTS verze, kde by se dělaly jen bezpečnostní updaty a bylo by jasně dáno, že budou vydávány třeba po dobu 3 let...
0 x

Uživatelský avatar
hapi
Příspěvky: 11360
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 5 months ago

nevím kdo by v tomto segmentu měl něco podobnýho. Proč by to dělaly?
0 x

rsaf
Příspěvky: 676
Registrován: 11 years ago

Příspěvekod rsaf » 5 months ago

Kdo konkrétně je v "segmentu" s ROS? Já si myslím, že to je segment sám pro sebe. V segmentu routingu si myslím, že toto mají úplně všichni.

Absence takové verze prakticky brání nasazení třeba do rozumně provozovaného podnikového prostředí, kde existuje nějaká politika testování nových verzí před nasazením. Mám mnoho míst, kde se Mikrotik/ROS nasadil pro své rozsáhlé funkce v malé, levné, nežravé krabičce (ospf, shaping, VPN, IPSEC, router s LTE kartou, metarouter, remote RS232, remote RS232 s 3G kartou pro komunikaci v průmyslu...). Instalace se odladily a fungují k plné spokojenosti. Jakákoliv změna funkcionality je zbytečná až nežádoucí, na druhou stranu IT politika ukládá udržovat ty věci minimálně na "verzích bez známých kritických bezpečnostních chyb".
Mám přehrát zařízení, které dělá switch pro nějakou průmyslovou technologii, zajišťuje vzdálený přístup po optice se zálohu přes LTE, běží tam IPSEC, OSPF a používá se remote RS232 na novější ROS kde došlo výměně LTE driverů, změně chování bridge/switche, zásahům do OSPF... a to jen proto, že je tam bezpečnostní chyba ve webserveru? Jak to mám rozumně otestovat, když nemám dostatek odvahy toto drze nalít do jednoho ze 4 takto řešených míst jakožto "test na ostrém prostředí"? Když se odhodlám, jak případné následné problémy na něčem, co jinak několik let fungovalo budu vysvětlovat dispečerům, kteří najednou nemohou hýbat s ventilem na dusíkovodu 30km daleko?
1 x

Uživatelský avatar
hapi
Příspěvky: 11360
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 5 months ago

super, použil si levnou věc na extrémně důležitou úlohu, tohle je samozřejmě naprosto v pořádku že :-D
1 x

Uživatelský avatar
honzam
Příspěvky: 4978
Registrován: 11 years ago

Příspěvekod honzam » 5 months ago

mpcz píše:OK, to je jedna z věcí, které Sergej píše jasně. A co ty verze ROS v RB600 apod.? mpcz, 30.3.2018

Jakej v tom vidíš rozdíl? ROS jako ROS. Prostě od 6.38.5 je vše (ano vše) opravené. Prosím před dalšími dotazi si přečti toto, stačí první příspěvek:
https://forum.mikrotik.com/viewtopic.ph ... 99#p650812
0 x

thomas_more
Příspěvky: 115
Registrován: 3 years ago

Příspěvekod thomas_more » 5 months ago

rsaf píše:Kdo konkrétně je v "segmentu" s ROS? Já si myslím, že to je segment sám pro sebe. V segmentu routingu si myslím, že toto mají úplně všichni.

Absence takové verze prakticky brání nasazení třeba do rozumně provozovaného podnikového prostředí, kde existuje nějaká politika testování nových verzí před nasazením. Mám mnoho míst, kde se Mikrotik/ROS nasadil pro své rozsáhlé funkce v malé, levné, nežravé krabičce (ospf, shaping, VPN, IPSEC, router s LTE kartou, metarouter, remote RS232, remote RS232 s 3G kartou pro komunikaci v průmyslu...). Instalace se odladily a fungují k plné spokojenosti. Jakákoliv změna funkcionality je zbytečná až nežádoucí, na druhou stranu IT politika ukládá udržovat ty věci minimálně na "verzích bez známých kritických bezpečnostních chyb".
Mám přehrát zařízení, které dělá switch pro nějakou průmyslovou technologii, zajišťuje vzdálený přístup po optice se zálohu přes LTE, běží tam IPSEC, OSPF a používá se remote RS232 na novější ROS kde došlo výměně LTE driverů, změně chování bridge/switche, zásahům do OSPF... a to jen proto, že je tam bezpečnostní chyba ve webserveru? Jak to mám rozumně otestovat, když nemám dostatek odvahy toto drze nalít do jednoho ze 4 takto řešených míst jakožto "test na ostrém prostředí"? Když se odhodlám, jak případné následné problémy na něčem, co jinak několik let fungovalo budu vysvětlovat dispečerům, kteří najednou nemohou hýbat s ventilem na dusíkovodu 30km daleko?


Myslim si, ze snazit se tady vysvetlovat duvody vyse uvedenym zpusobem je ve vetsine pripadu "hazeni perel svinim", kamarade. Az na par jedincu tady totiz vetsina mistniho osazenstva nema naprosto zadny zkusenosti s enterprise a carrier grade resenima a slovni spojeni jako "Corporate IT/network policy" maji za sprosty slova. A sebemensi poneti o tom, jak muzou byt nekde nastaveny procesy, pravidla a nebo pozadavky na spravu/udrzbu sw verzi bych tady taky moc nehledal. A kdyby zjistili, ze napriklad operatori pri nasazovani urcitych prvku do site tyhle downgradujou treba o 6 sw verzi zpatky proto, ze novy sw verze jeste nejsou schvaleny k ostrymu pouziti, urcite by to komentovali nejakou velice chytrou poznamkou o neschopnosti a nebo neco takovyho. To uz tady ale vsechno bylo ... :)
2 x


Zpět na „Verze“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti