Pokusy o přihlášení na Mikrotiky

Návody a problémy s konfigurací.
Dalibor Toman
Příspěvky: 1089
Registrován: 5 years ago

Re: Pokusy o přihlášení na Mikrotiky

Příspěvekod Dalibor Toman » 3 weeks ago

Insider píše:Můžu poprosit od zdrojovou IP adresu ?

ve vsech screenshotech je 103.1.221.39
ale treba nase sit s nim nemela za posledni dny zadnou komunikaci
0 x

Uživatelský avatar
hapi
Příspěvky: 11036
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

goblajz píše:What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;


co znamená nezabezpečený router? Dá se považovat web přihlášení přes heslo za nezabezpečený? :-)
0 x

Uživatelský avatar
goblajz
Příspěvky: 799
Registrován: 10 years ago
antispam: Ano

Příspěvekod goblajz » 3 weeks ago

Tak si tam nalej 6.42.1

Insider píše:
goblajz píše:What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;


Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)
0 x

Uživatelský avatar
honzam
Příspěvky: 4843
Registrován: 11 years ago

Příspěvekod honzam » 3 weeks ago

Insider píše:
goblajz píše:What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;


Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)

v6.42.1 and v6.43rc4 have been released! They fix the vulnerability.Bugfix coming soon as well.
0 x

arrabbella
Příspěvky: 78
Registrován: 5 years ago

Příspěvekod arrabbella » 3 weeks ago

goblajz píše:Tak si tam nalej 6.42.1

Insider píše:
goblajz píše:What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;


Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)


...a nebo si tam nalej nějakou ověřenou 6.38 a starší. Problém by měl být až od 6.39.

EDIT: Aha, je to už od 6.29.
Naposledy upravil(a) arrabbella dne 23 Apr 2018 15:59, celkem upraveno 1 x.
0 x

fujara
Příspěvky: 81
Registrován: 11 years ago

Příspěvekod fujara » 3 weeks ago

arrabbella píše:...a nebo si tam nalej nějakou ověřenou 6.38 a starší. Problém by měl být až od 6.39.

Tie vyhlasenia mikrotiku o tom ze je to len od tej a tej verzie, ze treba zmazat admina, zablokovat pristup z inych IP su podla mna len tapanie v tme a velice by som im neveril. Doposial nam nevysvetlili ako poznat ktore zariadenie je napadnute? Vie to vobec niekto? A nevieme ani aku ulohu ma ta binarka a co to bude robit ked sa to spusti. Mimochodom ta binarka je skompilovana pre vsetky platformy od x86 az po tile?
0 x

Dalibor Toman
Příspěvky: 1089
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 3 weeks ago

fujara píše:Tie vyhlasenia mikrotiku o tom ze je to len od tej a tej verzie, ze treba zmazat admina, zablokovat pristup z inych IP su podla mna len tapanie v tme a velice by som im neveril. Doposial nam nevysvetlili ako poznat ktore zariadenie je napadnute? Vie to vobec niekto? A nevieme ani aku ulohu ma ta binarka a co to bude robit ked sa to spusti. Mimochodom ta binarka je skompilovana pre vsetky platformy od x86 az po tile?


poznat napadeni nemusi byt z naseho pohledu mozne - na urovni k jake nas pusti winbox, CLI apod nemusi byt nic videt. Jen neprime dukazy na bazi pozorovani (sniffer, torch, CPU zatez atd). K realnemu systemu (souborovy system a systemove utility) nemame pristup...
dnstest je pry jen dropper - tedy neco co umi stahnout a spustit neco dalsiho. Takze az se to skutecne rozjede, muze ten napadeny MT delat uplne cokoliv (stejne jako u predchozi chyby s problematickym WWW serverem)

Co se tyce prohlaseni o tom , ktere verze jsou napadnutelne nam nezbyva nez MT verit - dokud se neprokaze neco jineho
0 x

Uživatelský avatar
hapi
Příspěvky: 11036
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

check-installation nikdo napadnutej nezkoušel?
0 x

rsaf
Příspěvky: 471
Registrován: 11 years ago

Příspěvekod rsaf » 3 weeks ago

Podle dostupných informací to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů na základě čehož se pak útočník přihlásí přes winbox. Prozatím si nemyslím, že hýbe "s něčím někde uvnitř" - to by neměnil nastavení služeb a firewallu tak, že je to vidět.
0 x

ludvik
Příspěvky: 3641
Registrován: 6 years ago
Bydliště: Kutná Hora

Příspěvekod ludvik » 3 weeks ago

Si neumím představit žádný buffer overflow, který by dokázal vyčíst soubor na disku. Ale budiž.
Odkud máš informaci o SSH? To jsem ještě neslyšel, řeší se jen Winbox. Je to i pravděpodobnější, protože SSH démona si snad sami nepsali.
rsaf píše:... to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů ...
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Dalibor Toman
Příspěvky: 1089
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 3 weeks ago

ludvik píše:Si neumím představit žádný buffer overflow, který by dokázal vyčíst soubor na disku. Ale budiž.
Odkud máš informaci o SSH? To jsem ještě neslyšel, řeší se jen Winbox. Je to i pravděpodobnější, protože SSH démona si snad sami nepsali.
rsaf píše:... to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů ...


buffer overflow muze umoznit spusteni Tveho vlastniho ASM kodu, ktery propasujes jako soucast hesla apod. Pripadne spustis jiz existujici kod v dane aplikaci. Muze se ti podarit spustit primo terminal nebo nejaky povel na odeslani dat....
1 x

mrazek609
Příspěvky: 126
Registrován: 7 years ago

Příspěvekod mrazek609 » 3 weeks ago

hapi píše:check-installation nikdo napadnutej nezkoušel?

V napadeným routeru píše "installation is ok"
0 x

Uživatelský avatar
hapi
Příspěvky: 11036
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

rsaf píše:Podle dostupných informací to vypadá na buffer overflow, který do SSH spojení "vykecá" databázi uživatelů na základě čehož se pak útočník přihlásí přes winbox. Prozatím si nemyslím, že hýbe "s něčím někde uvnitř" - to by neměnil nastavení služeb a firewallu tak, že je to vidět.


kde si vzal ssh? já všude vidim winbox. Z toho to důvodu mikrotik už delší dobu pracuje na stahování dll z routeru který už winbox 3.13 nedělá.
0 x

rsaf
Příspěvky: 471
Registrován: 11 years ago

Příspěvekod rsaf » 3 weeks ago

ludvik píše:Odkud máš informaci o SSH?

Soryy, s tím ssh jsem se upsal. Samozřejmě se jedná o winbox.
0 x

Kaja
Příspěvky: 344
Registrován: 12 years ago

Příspěvekod Kaja » 3 weeks ago

Tak to je docela problem.
Predpokladal jsem, ze "check-installation" projde cely filesystem a najde tam jakykoliv soubor, ktery tam byt nema.

Jedina sance je ta, ze v tvem mikrotiku zadny cizi soubor (krom Mikrotikackeho prostoru FILES) neni ulozen. A ze to "napadeny router" znamena pouze skutecnost, ze do adresare FILES nahral nejaky script, ktery se pokusil neco zapsat a to se nepodarilo.
O necem takovem pise Normis
------------
No. These files were found in the RouterOS files directory. You can't run binaries or scripts from there. It seems the attacker though he will copy them inside RouterOS system to run them, but failed to do so. You can even see it inside the script, that there are actions that were supposed to be done, but obviously failed (like deleting of these files).When a previously discovered vulnerability was fixed, we closed any options to run scripts and copy files inside other directories. This is why in this case, the attacker has uploaded something to the RouterOS Files folder (like you can also), but has failed to do anything else.
------------

Druha varianta (ta nejhorsi) je, ze ten 'vir' modifikoval script "check-installation" aby skryl sve soubory.


mrazek609 píše:
hapi píše:check-installation nikdo napadnutej nezkoušel?

V napadeným routeru píše "installation is ok"
1 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Ivos a 3 hosti