MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
johnyboi
Příspěvky: 21
Registrován: 4 months ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod johnyboi » 2 months ago

Peyrak píše:můžeš použít exploit sám a hacknout si to zpátky :laughing: je tu o tom napsáno víc než dost


bezi tam 6.42.7 to uz asi nepujde. Spis sem myslel jestli nekdo neprisel na nejaky trik z netinstallem.
0 x

puchnar
Příspěvky: 119
Registrován: 2 years ago

Příspěvekod puchnar » 2 months ago

pavlos píše:Ja mel v nastavení firewallu hlášku ať si do určitého data aktualizuji router jinak mē ho zamkne, dal jsem novou mašinu a aktualizoval.

20181006_183819.jpg


Tohle je "mírumilovný vir". V tmto případě stačilo restnout do továru d
0 x

Pelirob
Příspěvky: 116
Registrován: 5 years ago

Příspěvekod Pelirob » 2 months ago

Zdravím,
všimli jste si že ti šmejdi si pravděpodobně vyměňují adresy úspěšně napadených mikrotiků? Zažil jsem dva napadené mikrotiky (Netinstall a obnova konfigurace). Aplikoval jsem pravidlo od Mohyho {vřele dekuji} a nechávám ho logovat na syslog server. Z původních 7 IPček jich dneska je asi 50 a všechny tupě zkouší přístupy na IP adresy těch původně napadnutých mikrotiků. Naposledy dneska večer zase 3 nové IP adresy.
Několik dalších mikrotiků v síti si vesele žije a nikdo je nikdy "neotravoval".

Mohy píše:Zdravím,
přidám nějaké poznatky do mlýna, určitě se může někomu hodit - testoval jsem WinboxExploit a na základě analýzy komunikace mezi serverem a napadeným mikrotikem jsem vytvožil následující FW pravidlo, které útok spolehlivě překazí. Mám ho preventivně cca 14 dní na několika routerech a dropy vesele přibývají. Na tomto principu si můžete udělat src a dst address list a uvidíte odkud a na co vám ten bordel leze.

Kód: Vybrat vše

/ip firewall filter
add action=drop chain=forward comment=WinboxExploit-drop content=\
   /flash/rw/store/user.dat dst-port=8291 protocol=tcp


Seznam IP, které zranitelnosti využívají se zatím ustálil na 7ks:
198.100.28.129
185.53.91.23
178.128.26.75
95.170.220.162
93.174.93.173
91.183.33.194
80.50.125.170

Upgradujte na nové verze mám spolehlivě odskoušené 6.42.6 a 6.42.7, které tomuto útoku odolávají.

Ještě jedna zajímavost, zkoušel jsem útok proti verzi 6.28 architektura mipsbe a exploit vyčetl i hesla která již byla dávno změněna. Výpis obsahoval 3x účet admin a hesla, která v zařízení opravdu v minulosti byla, ale pro přihlášení už nejsou platná.
1 x

mpcz
Příspěvky: 2281
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

Zdravím, mohl by prosím někdo trošku podrobněji rozebrat význam a účinnost tohoto opatření? Děkuji, mpcz, 10.10.2018
0 x

pavelsiman
Příspěvky: 246
Registrován: 1 year ago

Příspěvekod pavelsiman » 2 months ago

Zdravím. Skúšal niekto spustiť winbox exploit na windows?
0 x

mpcz
Příspěvky: 2281
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

pavelsiman píše:Zdravím. Skúšal niekto spustiť winbox exploit na windows?

Jede to ve Win10 bez problémů a hned. Ten co jsem zkusil, umí i diakritiku v hesle. mpcz, 10/10/2018

exploit_for_Windows.jpg
exploit_for_Windows.jpg (62.51 KiB) Zobrazeno 945 x
0 x

mpcz
Příspěvky: 2281
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

Zdravím, v jednom stroji jsem si po odemknutí všiml v logu poměrně neobvyklého zalogování přihlášení Winboxu, kde se vždy vyskytne 6-7 řádků. Je to běžný úkaz? mpcz, 10/10/2018
log_7x.jpg
log_7x.jpg (49.44 KiB) Zobrazeno 896 x
0 x

Uživatelský avatar
goblajz
Příspěvky: 815
Registrován: 11 years ago
antispam: Ano

Příspěvekod goblajz » 2 months ago

Jestli máš na pozadí otevřený 6x terminál tak to možné je...
0 x

mpcz
Příspěvky: 2281
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

Děkuji, nemám otevřený žádný další terminál. Pokud se stejně přihlásím na jiný stroj, je to tam jen jednou. Nějaký další nápad k prověření? Děkuji. mpcz, 10.10.2018
0 x

K3NY
Příspěvky: 234
Registrován: 2 years ago

Příspěvekod K3NY » 2 months ago

mpcz píše:Zdravím, v jednom stroji jsem si po odemknutí všiml v logu poměrně neobvyklého zalogování přihlášení Winboxu, kde se vždy vyskytne 6-7 řádků. Je to běžný úkaz? mpcz, 10/10/2018
log_7x.jpg

tezko rict, koukni do loggovani jestli tam neni nejake pravidlo vicekrat, pokud jsou ty konzole aktivni jsdou videt v system->scripts->jobs
0 x

mpcz
Příspěvky: 2281
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

Dík, v jobs-ech jsem něco takového viděl, to by mohlo souviset i ten počet mám dojem odpovídal, ale neviděl jsem tu souvislost s přihlášením. mpcz, 10/10/2018
0 x

whef
Příspěvky: 846
Registrován: 11 years ago

Příspěvekod whef » 2 months ago

Tak už se k něčemu konečně ofiko vyjádřil i Mikrotik. https://blog.mikrotik.com/security/new- ... ility.html
0 x

Dalibor Toman
Příspěvky: 1201
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 2 months ago

whef píše:Tak už se k něčemu konečně ofiko vyjádřil i Mikrotik. https://blog.mikrotik.com/security/new- ... ility.html

pokud ctu dobre, tak vsechny ty diry v ROSu v prohlaseni od Tenable k pouziti vyzaduji znalost hesla:

All of these vulnerabilities require authentication (essentially legitimate credentials)

https://www.tenable.com/blog/tenable-re ... s-routeros

Navic se jedna o 'stare' veci resene jiz v 6.40.9, potazmo 6.42.7. Takze zase nic o tom, ze by existovala nejaka nova dira umoznujici napadnout ROS bez znalosti hesla novym dosud neznamym zpusobem.
0 x

whef
Příspěvky: 846
Registrován: 11 years ago

Příspěvekod whef » 2 months ago

Já jsem to asi úplně nepochopil, alespoň tak jak to chápu já je to pořešeno až od Verze 6.42.7 a co tam psali tak třeba 6.42.3 to prolomily takže pokud mám na dosti části sítě 6.42.6 který se mi zatím zdál nejvíce stable, i když testuji i 6.42.7 s 43.2 tak tam mi to zatím moc dobře nefunguje.

DaliborToman píše:
whef píše:Tak už se k něčemu konečně ofiko vyjádřil i Mikrotik. https://blog.mikrotik.com/security/new- ... ility.html

pokud ctu dobre, tak vsechny ty diry v ROSu v prohlaseni od Tenable k pouziti vyzaduji znalost hesla:

All of these vulnerabilities require authentication (essentially legitimate credentials)

https://www.tenable.com/blog/tenable-re ... s-routeros

Navic se jedna o 'stare' veci resene jiz v 6.40.9, potazmo 6.42.7. Takze zase nic o tom, ze by existovala nejaka nova dira umoznujici napadnout ROS bez znalosti hesla novym dosud neznamym zpusobem.
0 x

Uživatelský avatar
honzam
Příspěvky: 5102
Registrován: 11 years ago

Příspěvekod honzam » 2 months ago

Však to je pořád ta samá díra. Opravená v dubnu. Jenom se teď se zneužitelnostmi roztrhl pytel protože uživatelé neupgradují. Jediné co jim zbývá je informovat, informovat
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 13 hostů