MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
krystofklima
Příspěvky: 19
Registrován: 5 years ago

MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod krystofklima » 3 months ago

Vážení zákazníci, absolventi školení,

Dnes se mi již ozvalo 7 operátorů se zablokovaným přístupem na své stroje MikroTik.
Virus je nyní velmi systematický, napadá stroje po SSH čímž si testuje přístup. Dále využije chybu přetečení bufferu NetBiosu (tedy blokace IP protokolu nepomůže) a lokálně po L2 vrstvě napadá okolní stroje.
Tato chyba je popsána cca rok zpět, MikroTik prohlašuje, že definitvně je opravena ve verzi 6.41.3, viz zde https://www.coresecurity.com/advisories ... r-overflow

Jediná výhoda je v PPPoE či routovaných sítích, že šíření tam trvá podstatně déle než na transparentních sítích, kde je šíření přímo lavinové.
Virus si nahraje script do MikroTiku, ten Vám zahesluje a zároveň si vytvoří NOVOU PARTITION – TAKŽE FYZICKÝ NETINSTALL NUTNÝ !!! PŘÍPADNĚ U PC PŘEINSTALACE Z CD !!!
Pokud stroj pouze vyresetujete, použije svou vytvořenou partition a znovu se spustí, virus je velmi rychlý

Problém Vašich PC a notebooků :
DÁLE SE INFIKUJÍ DLL knihovny, které si stahujete jakýmkoli starším WinBoxem než 3.11 (nejedná se o verzi software MikroTik ale o verzi Winboxu, kterou najdete nahoře v řádku po spuštění WinBoxu před zalogováním kamkoli)
!!! TYTO POZMĚNĚNÉ KNIHOVNY SI STÁHNETE DO VAŠICH PC A TAKTO SNADNĚ SE PAK VIRUS ŠÍŘÍ NA DALŠÍ STROJE, KTERÉ JENOM WINBOXEM NAVŠTÍVÍTE !!!!
!! JE TŘEBA ve Vašich PC -> TEDY SMAZAT VŠECHNY STAŽENÉ DLL V ADRESÁŘI /User/AppData/Roaming/MikroTik/Winbox !!!

Postup pro dezinfekci PC : (tím začít, jinak si to šíříte sami)
Upgrade Winbox na 3.13 z MikroTik.com (nebo stačí při spuštění WinBoxu nahoře tlačítko Check for Update v Advanced Mode)
SMAZAT VŠECHNY STAŽENÉ DLL V ADRESÁŘI /User/AppData/Roaming/MikroTik/Winbox !!!
Dále raději reinstalaci PC – antivir toto nepovažuje za vir, je to útok cílený jen na administrátory sítí, takže to virové společnosti ještě nezachytily ;-(

Postup pro dezinfekci routerů co jsou napadené :

Provést NEINSTALL na RB, případně instalaci z CD na PC verze, je to nutnost, pro smazání virové partition (viditelné jedině při použití OpenWRT v-instalované do flashky jako druhý systém – návody jsou na netu)
Instalaci provést s verzí 6.41.3 a výš, kde je dle MikroTiku chyba odstraněna. Dokonce na verzích TILE pro CCR je změněno DH šifrování SSH klíčování – nebude pak fungovat ani automatizované připojování skrze SSH z jiných systémů

Postup pro zamezení šíření na zdravých strojích :

Povýšit verzi nad 6.41.3. která je MikroTikem vyhlášena již za bezpečnou !!!
Změnit přístup v IP SERVICES – zakázat WWW, API (použít API-SSL s certifikátem), FTP, TELNET – změnit port na SSH
SSH a WINBOX omezit přístup jen na lokální sítě, vzdáleně jen přes VPN
POZOR vir se šíří chybou SMB overflow popsanou výše, tedy blokace IP protokolu ve firewallu nepomůže !!!

Hodně štěstí všem postiženým, silné nervy a funčkní auta ;-)

dále se k tématu věnuje i starší vlákno kde je většina popsané . TOTO PÍŠU JEN PRO VYSOKOU NEBEZPEČNOST ZVLÁŠŤ NYNÍ A JINAK VŠECHNY ŽÁDÁM POKRAČOVAT V PŮVODNÍM VLÁKNĚ
viewtopic.php?f=5&t=25058

Díky, Kryštof Klíma.
0 x

Dalibor Toman
Příspěvky: 1151
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 3 months ago

DD,

on ma SMB snad nekdo na Mikrotiku zapnuty? Vzdyt je defaultne vypnute, nebo v nekterych verzich ne?

To s tema DLLkama k Winboxu MT podelal. Blbe je, ze novy Winbox nerozumi starym ROSum. Mohl je alespon zasifrovat/podepsat, aby vyloucil podstrceni modifikovanych knihoven. Resp nemel tohle reseni nikdy prijmout - pak by mohl vzniknout davno i winbox napr pro Linux
0 x

mena
Příspěvky: 47
Registrován: 6 years ago

Příspěvekod mena » 3 months ago

Dá se nějak zjistit, že je router infikovaný - tedy po útoku router lehne <<<nebo>>>> pracuje dál, je přeheslovaný a vykonává síťový provoz nadále a dál se šíří (nemá nastavený nějaký odpočet a potom si lehne?)
0 x

ispadmin
Příspěvky: 6
Registrován: 6 years ago

Příspěvekod ispadmin » 3 months ago

Pokud je SMB vypnute, tak neni mozne tuto chybu zneuzit. Odzkouseno na proof of concept exploitu.
Musi byt zapnuta volba

/ip smb set enabled=yes

to snad nikdo z nema....

Mimo to se pres routery SMB protokol nedostane, takze by se infikovaly routery pouze v jednom segmentu site.


Vypada, ze se jedna o tuto zneuzitelnost

http://www.networkinghowtos.com/howto/m ... x-service/
https://www.bleepingcomputer.com/news/s ... cord-time/

To by odpovidalo infekci v posledni dobe


Doporucuje se upgrade na posledni verzi.
Rychlym resenim je zmena portu na winbox
0 x

Uživatelský avatar
midnight_man
Příspěvky: 3609
Registrován: 7 years ago

Příspěvekod midnight_man » 3 months ago

Vie to infikovat router aj bez SSH?

alebo zapnute SSH je podmienka? aj po L2?

uz by konecne mohli vyriesit tie zobrazené PWD v konfigoch winboxu...svieti to tam.....
0 x

Uživatelský avatar
eKrajnak
Příspěvky: 402
Registrován: 5 years ago
Bydliště: Levoča, SK
Kontaktovat uživatele:

Příspěvekod eKrajnak » 3 months ago

Je v tom trochu chaos, pletú sa tu viacere veci dokopy.

Sú známe zraniteľnosti:
- WWW servera, do verzie 6.38.5 (v 6.41.3 pridané ďalšie double checks).
- SMB do verzie 6.41.3, podľa @ispforum zneužiteľné len pri manuálne zapnutom SMB v /ip smb ... prečo tvrdíte že sa to širi po L2? Na L2 pracuje NetBEUI a nie NetBIOS ... načúva NetBEUI aj pri vypnutom SMB?
- Winbox, do verzie 6.42.1
- SSH? je to niekde zdokumentované, alebo sa vychádza iba z "tichých" zmien podľa changelogov?


A ďalej vieme činnosti vírusov:
- skenovanie okolitých zariadení na 8291, 22, ... (pravdepodobne WWW vulnerability)
- stiahnutie užívateľských údajov zo zariadení (pravdepodobne Winbox vuln.)
- vytvorenie novej partície na FS (kým?)
- infikovanie DLL knižníc Winboxu (kým?, čo sa nimi prenáša?)
1 x
Študent, programátor na voľnej nohe a sieťar ako hobby ...

Blažej Krajňák
https://ekrajnak.com/

trychlik
Příspěvky: 3
Registrován: 3 years ago

Příspěvekod trychlik » 3 months ago

mena píše:Dá se nějak zjistit, že je router infikovaný - tedy po útoku router lehne <<<nebo>>>> pracuje dál, je přeheslovaný a vykonává síťový provoz nadále a dál se šíří (nemá nastavený nějaký odpočet a potom si lehne?)

to me taky zajima
0 x

ispadmin
Příspěvky: 6
Registrován: 6 years ago

Příspěvekod ispadmin » 3 months ago

Udajne se router po infekci prehesluje, tak se na nej nedostanete
0 x

suprafon
Příspěvky: 21
Registrován: 5 years ago

Příspěvekod suprafon » 3 months ago

Takže nevím co soudruzi v Litvě vymysleli na verzi 6.41.3 a vyšší,ale po upgradu omnitiku se mi polovina klientu stratila,to neřeším že to trvá dvě minuty než proskenuje okolí než připojí, a tak jsem vyrazil za odpojenými klienty.Všichni mají sxt lite a všichni po upgradu omnitiku :jednitky se dookola restartují,nedá se s nima udělat mic,takže výměna za nové...DĚKUJI!!
0 x

Ladik
Příspěvky: 1294
Registrován: 9 years ago
antispam: Ano

Příspěvekod Ladik » 3 months ago

Scan okoli na radary, ten po startu trva 2min to je uplne normalni (bohuzel)
Zapni si superchannel a pripoji se ti hned.
Jaky maji ROS ti klienti? Jestli mensi nez 6.38, tak se zmenil ovladac radia chlape a chyba je u tebe, ze jsi neupdatoval bejprve ty lidi.
Tak sup sup dej si tam stary ROS, ale bacha masterport uz v nove verzi taky nehledej.
Na mem OmniTiku AC mam pripojene od prvniho SXT po posledni verzi ac a vse maka.
0 x

suprafon
Příspěvky: 21
Registrován: 5 years ago

Příspěvekod suprafon » 3 months ago

Nějaký nápad jak oživit sxt když se pořád restartuje?reset nepomaha..
0 x

mirek.k
Příspěvky: 571
Registrován: 10 years ago

Příspěvekod mirek.k » 3 months ago

Netinstall
0 x

Ladik
Příspěvky: 1294
Registrován: 9 years ago
antispam: Ano

Příspěvekod Ladik » 3 months ago

Musis si uvedomit co se stalo pri tom upgradu a co jsi presne delal.
Nebyla nahodu treba bourka a pritom se tech par klientu zacalo restartovat?
MK tam nic nenahral pri upgradu OmniTika, za prepokladu, ze tam nemas zapnuty autoupgrade na tech klientech
Ale to neni do tohoto vlakna, zaloz si nove, at muzeme spravne debatovat.

PS: chtelo by to malinkeho moderatora, at se nezapleveluji vlakna.

K tematu: jsem rad, ze pravidelne zaplatuju MK, tak snad jsem nenechal v siti zadneho brouka :-)
0 x

ludvik
Příspěvky: 3783
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

V 5.26 to určitě bylo defaultně vypnuté. V novějších namátkou vyzkoušených též.
Dalibor Toman píše:DD,
on ma SMB snad nekdo na Mikrotiku zapnuty? Vzdyt je defaultne vypnute, nebo v nekterych verzich ne?

To s tema DLLkama k Winboxu MT podelal. Blbe je, ze novy Winbox nerozumi starym ROSum. Mohl je alespon zasifrovat/podepsat, aby vyloucil podstrceni modifikovanych knihoven. Resp nemel tohle reseni nikdy prijmout - pak by mohl vzniknout davno i winbox napr pro Linux


DLL se nestahují už od verze 6. Nějaké jiné věci ano, ale jsou to zjevně jen data. A na to stačí 3.12, kterým se lze dostat i na ROS 3.30. Winbox 3.13 jen natvrdo blokuje připojení k těm starým, co dll vyžadují. Takže výsledek je, že stejně musím stáhnout dll, když musím ... co mi zbývá.

Winbox pro linux nikdy existovat nebude, protože za a) funguje pod wine a za b) zjevně do budoucna preferují WebFig.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

tulo
Příspěvky: 25
Registrován: 10 years ago

Příspěvekod tulo » 2 months ago

suprafon píše:Takže nevím co soudruzi v Litvě vymysleli na verzi 6.41.3 a vyšší,ale po upgradu omnitiku se mi polovina klientu stratila,to neřeším že to trvá dvě minuty než proskenuje okolí než připojí, a tak jsem vyrazil za odpojenými klienty.Všichni mají sxt lite a všichni po upgradu omnitiku :jednitky se dookola restartují,nedá se s nima udělat mic,takže výměna za nové...DĚKUJI!!


Ak sa ti dookola restartuje sxt nevie bootovat firmware. Pomoze len netinstall. stane sa to vzdy ked sa pokusis o update z verzie mensej ako 5.26 na 6kovu. Ja som si tak zrusil 7 klientov dal som update z 5.1x na 6.42.1 a sxt islo do...
update na 5.26 a odtial na novu verziu prejde. Netinsall mi tiez nechcel prejst ten posledny najprv som musel dat na 5.26 a potom updatnut na last.
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů