Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: daemon 03. 09. 2018, 14:18:05

Název: Mám hacknutý MikroTik?
Přispěvatel: daemon 03. 09. 2018, 14:18:05
Stala se mi včera večer taková zvláštní věc.

Z ničehož nic se restartoval Mikrotik. Když jsem zkoumal o co jde, zjistil jsem, že je v něm nově verze 6.42.7 stable, místo původní 6.40.8 bugfix a navíc se do něj nedá přihlásit. Já jsem ale nic takového neudělal.

V tuto chvíli si to neumím vysvětlit jinak, než že mi ho někdo hacknul. Zatím se žádný vtipálek, který by mohl znát heslo a tedy takovou akci provést, nepřihlásil.

Nemáte někdo podobnou zkušenost nebo nevíte o co by mohlo jít?
Název: Re:hacknutý Mikrotik?
Přispěvatel: kaktus 03. 09. 2018, 14:37:54
Nedávno (duben/květen) byl zveřejněn hack, pomocí kterého se dalo dostat do mikrotiku. Součástí útoku byl i php script, který pak nastahoval další bordel. https://www.root.cz/zpravicky/mikrotik-routery-napadeny-vkladaji-do-stranek-skript-na-tezeni-kryptomen/

Návod s fixem je někde na oficiálních stránkách mikrotiku, držím palce
Název: Re:hacknutý Mikrotik?
Přispěvatel: kaktus 03. 09. 2018, 14:47:52
Tohle je myslím ono https://blog.mikrotik.com/security/winbox-vulnerability.html
Název: Re:hacknutý Mikrotik?
Přispěvatel: daemon 03. 09. 2018, 15:03:31
Nedávno (duben/květen) byl zveřejněn hack, pomocí kterého se dalo dostat do mikrotiku. Součástí útoku byl i php script, který pak nastahoval další bordel. https://www.root.cz/zpravicky/mikrotik-routery-napadeny-vkladaji-do-stranek-skript-na-tezeni-kryptomen/

Návod s fixem je někde na oficiálních stránkách mikrotiku, držím palce

Nj, jenže já tam měl ver. 6.40.8 bugfix, která už má tu zranitelnost dávno opravenou...
Název: Re:hacknutý Mikrotik?
Přispěvatel: daemon 03. 09. 2018, 15:04:59
Affected all bugfix releases from 6.30.1 to 6.40.7, fixed in 6.40.8 on 2018-Apr-23
Název: Re:hacknutý Mikrotik?
Přispěvatel: pepik 03. 09. 2018, 15:13:25
Může to být další vulnerabilita. Zálohovat zálohovat zálohovat.....
Název: Re:hacknutý Mikrotik?
Přispěvatel: Madmucho 03. 09. 2018, 15:24:46
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Pokud zálohujete poznáte to i z diff konfigurace, například nám to naprášil <ad> unimus </ad>

Řešením je fixovat a winbox jen z adres listu Vámi známých Veřejných ip. Zranitelnosti jsou všude, je to jen otázkou času. Fix na to byl rychle. Mimo jiné je fix už i na zranitelnost ve WPA2, stačí si jí vypnout / zapnout vypnutí PMKID v security profilu wifiny.

Všecky tyhle veci se rozhodly hoši publikovat na svém bezpečnostním blogu, který mám v RSS kách a koukam co se kde šustne. Asi lepší než prodírat jejich forum.
https://blog.mikrotik.com/ (https://blog.mikrotik.com/) Třeba to bude někomu užitečné.

Diskutuje se i o podobě scriptů aby si ISPčka mohly oskenovat vlastní IP rozsahy a pokud na to budou mít koule fixnuly přes tu chybu klientům jejich mikrotiky, dost se to zneužívá.
Název: Re:hacknutý Mikrotik?
Přispěvatel: daemon 03. 09. 2018, 16:01:19
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Ale jaká je to zranitelnost? CVE?
Proti tomu winbox exploitu by ver. 6.40.8 bugfix měla být imunní. Stále nerozumím tomu, jak se to tam dostalo.
Název: Re:hacknutý Mikrotik?
Přispěvatel: Madmucho 03. 09. 2018, 22:32:28
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Ale jaká je to zranitelnost? CVE?
Proti tomu winbox exploitu by ver. 6.40.8 bugfix měla být imunní. Stále nerozumím tomu, jak se to tam dostalo.

Zatím o žádné další zranitelnosti na aktuální verzi nevím, jen ale upozorním na to že ta minulá chyba winboxu, způsobila to že útočník dostal přístup ke všem účtům a heslům nebo hešům k nim, a pokud nedošlo k jejich změně muže je bez problémů použít na vystavený aktualizovaný winbox dále.

Toto jsem zaznamenal na jedné instalaci kterou hackly zkoumal jsem co se dělo, v centálním logu jsem nenalezl bruteforce na jméno a heslo nic, proste jeden den se někdo z jiné veřejky na mikrotik přihlásil winboxem na administrátorský učet (nikoli defualt admin) a konal. Na první pokus tam byl, šel na jisto.
Od té doby reset konfigurace a hesla, změna loginu per device jiný účet i heslo.

Jestli tam nemáte stále stejný login a heslo a utočník už jej neznál.
Název: Re:hacknutý Mikrotik?
Přispěvatel: Lol Phirae 03. 09. 2018, 23:10:28
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)
Název: Re:hacknutý Mikrotik?
Přispěvatel: daemon 04. 09. 2018, 07:35:44
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

Tohle snad ani nemá smysl komentovat...
Název: Re:hacknutý Mikrotik?
Přispěvatel: daemon 04. 09. 2018, 08:07:17
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Ale jaká je to zranitelnost? CVE?
Proti tomu winbox exploitu by ver. 6.40.8 bugfix měla být imunní. Stále nerozumím tomu, jak se to tam dostalo.

Zatím o žádné další zranitelnosti na aktuální verzi nevím, jen ale upozorním na to že ta minulá chyba winboxu, způsobila to že útočník dostal přístup ke všem účtům a heslům nebo hešům k nim, a pokud nedošlo k jejich změně muže je bez problémů použít na vystavený aktualizovaný winbox dále.


To zní smysluplně.
Snažím se držet řadu bugfix a aktualizuji s jistým zpožděním, než se odjinud dozvím, co v nové verzi zase rozbili. Kdo Mikrotik používá delší dobu, ví o čem mluvím.
Nelze tedy vyloučit, že tam po určitou dobu byla zranitelná verze.
Současně, bohužel, na tomto zařízení mohl být Winbox dostupný z Internetu. Je o tom hezké přísloví o kovářově kobyle. Tomuto zařízení jsem nevěnoval v minulosti tolik péče, kolik by bylo vhodné. A já v tuto chvílí opravdu nevím, jestli byl dostupný zvenčí nebo ne.
Ale jsou to zatím pouze spekulace. Rád bych je potvrdil nebo vyvrátil.
Název: Re:hacknutý Mikrotik?
Přispěvatel: bobosu 04. 09. 2018, 08:42:21
To zní smysluplně.
Snažím se držet řadu bugfix a aktualizuji s jistým zpožděním, než se odjinud dozvím, co v nové verzi zase rozbili. Kdo Mikrotik používá delší dobu, ví o čem mluvím.
Nelze tedy vyloučit, že tam po určitou dobu byla zranitelná verze.
Současně, bohužel, na tomto zařízení mohl být Winbox dostupný z Internetu. Je o tom hezké přísloví o kovářově kobyle. Tomuto zařízení jsem nevěnoval v minulosti tolik péče, kolik by bylo vhodné. A já v tuto chvílí opravdu nevím, jestli byl dostupný zvenčí nebo ne.
Ale jsou to zatím pouze spekulace. Rád bych je potvrdil nebo vyvrátil.
[/quote]

Já jsem zažil něco podobného, měl jsem jeden router s hackem, do něho jsem se nedostal. Ten jsem smazal obnovil ze zálohy a další jsem updatoval.
Následně vyšel další update a po update jsem se do jednoho routeru už nedostal, ačkoliv ten update jsem vyvolal já.
Pak už zbyl jen opět postup čisté instalace a obnova.
No a změna všech hesel včetně třeba vpn uživatelů ve všech boxech.
To je cca dva měsíce zpět od té doby klid. 
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: ZAJDAN 04. 09. 2018, 09:35:09
podobné problémy mě vyprovokovali dát za router IDS
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Ferda 04. 09. 2018, 10:33:33
Stala se mi včera večer taková zvláštní věc.

Z ničehož nic se restartoval Mikrotik. Když jsem zkoumal o co jde, zjistil jsem, že je v něm nově verze 6.42.7 stable, místo původní 6.40.8 bugfix a navíc se do něj nedá přihlásit. Já jsem ale nic takového neudělal.

V tuto chvíli si to neumím vysvětlit jinak, než že mi ho někdo hacknul. Zatím se žádný vtipálek, který by mohl znát heslo a tedy takovou akci provést, nepřihlásil.

Nemáte někdo podobnou zkušenost nebo nevíte o co by mohlo jít?

Kde ses pripojenej (tj. u jakeho ISP)?
Napr u nas v siti byl "navstevnik" a provedl nam problem na cca 800 routerboardech. Nasledkem toho jsme zacali postupne upgradovat (mj.) i krabicky useru, aby nemely stary firmware.
Pokud krabicka useru mela default heslo, bylo zmeneno. Duvod byl ten, ze "navstevnik" pouzival default hesla, aby se dostal do RBcek.
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: daemon 04. 09. 2018, 11:02:27
Kde ses pripojenej (tj. u jakeho ISP)?

Selfmade sousedská síť. Relikt 90. let. Uplinky od NetDataCom, UPC, O2. Má to poněkud složitější topologii a lze si vybrat přes koho se připojíš.
Zařízení na naší backbone ale zatím známky nákazy nevykazují.

Název: Re:hacknutý Mikrotik?
Přispěvatel: samalama 04. 09. 2018, 12:13:15
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

Tohle snad ani nemá smysl komentovat...

no lebo na tom nie je ani co komentovat...
Název: Re:hacknutý Mikrotik?
Přispěvatel: daemon 04. 09. 2018, 13:21:57
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

Tohle snad ani nemá smysl komentovat...

no lebo na tom nie je ani co komentovat...

Právě, právě...
Lol Phirae sice ví pendrek o mém zařízení, o jeho konfiguraci, o všech okolnostech, ale zato má potřebu se k tomu vyjádřit a má ve všem jasno...
Název: Re:hacknutý Mikrotik?
Přispěvatel: Cek 04. 09. 2018, 13:37:28
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

Tohle snad ani nemá smysl komentovat...

no lebo na tom nie je ani co komentovat...

Právě, právě...
Lol Phirae sice ví pendrek o mém zařízení, o jeho konfiguraci, o všech okolnostech, ale zato má potřebu se k tomu vyjádřit a má ve všem jasno...

Zato my ostatni, kteri nevime nic o Tvem zarizeni, jeho konfiguraci a vsech okolnostech, Ti urcite spravne a dokonale poradime.....;-)
Název: Re:hacknutý Mikrotik?
Přispěvatel: Lol Phirae 04. 09. 2018, 13:37:39
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

Tohle snad ani nemá smysl komentovat...

no lebo na tom nie je ani co komentovat...

Právě, právě...
Lol Phirae sice ví pendrek o mém zařízení, o jeho konfiguraci, o všech okolnostech, ale zato má potřebu se k tomu vyjádřit a má ve všem jasno...

To je úplně irelevantní. Jen úplný tydýt vystaví webové rozhraní routeru do internetu, neomezeně přístupné. Jestli to skutečně potřebuješ mít přístupné odkudkoliv zvenku, tak si tam nastav VPN, tuplovaný oposume!  ::)
Název: Re:hacknutý Mikrotik?
Přispěvatel: samalama 04. 09. 2018, 14:48:22
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

Tohle snad ani nemá smysl komentovat...

no lebo na tom nie je ani co komentovat...

Právě, právě...
Lol Phirae sice ví pendrek o mém zařízení, o jeho konfiguraci, o všech okolnostech, ale zato má potřebu se k tomu vyjádřit a má ve všem jasno...

mno, zjavne si ma nepochopil, nevadi...
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: MordoR 04. 09. 2018, 18:21:15
Tvoja verzia je deravá na exploitik ktorým sa dá cez winbox vytiahnuť zoznam kontaktov s mikrotiku POS: https://github.com/BigNerd95/WinboxExploit/blob/master/README.md
Fixnute je to až vo verzii 6.42.7
Ideálne povolit mngmt iba z vonku resp z lan
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Vevrdy 05. 09. 2018, 12:51:23
Stalo se mi to samé, udělal jsem reset a netinstall. Po netinstall tam byl backup před resetem...heslo bylo stejně ale místo admin byl login adminka...zkus to
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: FrlfemAco 05. 09. 2018, 13:11:32
Zakazal by som taketo otazky do fora.  >:(  Ignoracia zakladnych pravidiel bezpecnosti, nekonecne vela krat omielanych, by mala vyustit do ignorovania podobnych otazok . Takto si behame za chvostom. Za kazdym je to to iste... manazment porty public, slabe heslo, neupdatovany system...

Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Skier 05. 09. 2018, 13:29:24
Zareaguji na původní otázku: MÁŠ ŠPATNĚ NASTAVENÝ MIKROTIK A PROTO NEJSI JEDINÝ, KDO K NĚMU MÁ PŘÍSTUP.

Doporučuji uložit logy pro další analýzu, okamžitě přeinstalovat a nakonfigurovat s jinými přístupovými údaji a konzervativním nastavením přístupu ke konfiguraci zvenku.
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: noname 05. 09. 2018, 13:53:04
Mám hacknutý MikroTik?

Klik, klik, klik,
hack, hack, hack,

No, a teraz uz hej...
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Lieselotte 18. 09. 2018, 16:14:32
Proboha, nainstaloval jste bugfix na jednu z desítek známých zranitelností. Bože, někdo se zas ožral a naznal, že bude trápit nějakýho garážistickýho ISP. To nikdo nehacknul. Mikrotik totiž nejde hacknout. Jak chcete najít zadní vrátka na něčem,čemu chybí zadní stěna? ...
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Lieselotte 18. 09. 2018, 16:26:16
Stala se mi včera večer taková zvláštní věc.

Z ničehož nic se restartoval Mikrotik. Když jsem zkoumal o co jde, zjistil jsem, že je v něm nově verze 6.42.7 stable, místo původní 6.40.8 bugfix a navíc se do něj nedá přihlásit. Já jsem ale nic takového neudělal.

V tuto chvíli si to neumím vysvětlit jinak, než že mi ho někdo hacknul. Zatím se žádný vtipálek, který by mohl znát heslo a tedy takovou akci provést, nepřihlásil.

Nemáte někdo podobnou zkušenost nebo nevíte o co by mohlo jít?

Kde ses pripojenej (tj. u jakeho ISP)?
Napr u nas v siti byl "navstevnik" a provedl nam problem na cca 800 routerboardech. Nasledkem toho jsme zacali postupne upgradovat (mj.) i krabicky useru, aby nemely stary firmware.
Pokud krabicka useru mela default heslo, bylo zmeneno. Duvod byl ten, ze "navstevnik" pouzival default hesla, aby se dostal do RBcek.

Já to nebyla, ale panu "návštěvníkovi" fandím :3 :3
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Roman 14. 12. 2018, 19:09:35
Proboha, nainstaloval jste bugfix na jednu z desítek známých zranitelností. Bože, někdo se zas ožral a naznal, že bude trápit nějakýho garážistickýho ISP. To nikdo nehacknul. Mikrotik totiž nejde hacknout. Jak chcete najít zadní vrátka na něčem,čemu chybí zadní stěna? ...

To, že ho ty neumíš hacknot, neznamená, že to nejde. Pořád to má kromě softwarových děr i ty hardwarové. Ty levné jsou na tom dost špatně, konkrétně 941, ty dražší 962 jsem měl za to, že to je lepší ale bohužel nikoliv. Mě kdosi přepisuje kromě jiného - boot loadery. A když chci použít netinstall tak to prostě nejde...   
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: D.J.Bobo 15. 12. 2018, 21:21:37
Njnm pokud máš opravdu vystrčené MK ven do Internetu, pak je nutná obzvlášť obezřetnost.
Jak bylo psáno, preventivně změnit přístupy, resetovat a znova nastavit (já obvykle, když si nejsem jist, udělám export do RSC a ten pak postupně, abych to viděl, aplikuji).
A taky mám omezené přístupy na Winbox jen z určitých adres, mám VPN na svůj server a to je ta IP, která jediná smí zvenku na MK.
A samozřejmě platí, z WAn co není potřeba, DROP, resp. Povolím co potřebuju (případně omezit na ACCESS LIST) a zbyted DROP.
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Tommy 17. 12. 2018, 06:23:15
Doporučil bych reinstal, nastavut restrikce na přístup a alespoň základní firewall, který bude reflektovat restrikce pro přístup. Možná zvážit zavřít winbox přistup za VPN.
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: pedro 17. 12. 2018, 08:36:27
mam asi 300 tiku, minimalne polovinu na verejkach, ANI JEDEN JEDINY hack za poslednich 10let...nechapu co s tim kluci delate ze se vam totok stane....
Staci mit trochu FW nastaveny jako beloch a je klid....
Název: Re:Mám hacknutý MikroTik?
Přispěvatel: Marek 17. 12. 2018, 17:24:09
Zkuste zkontrolovat, jestli nepribily scripty, tunely, naplanovane ulohy, nove ucty a logy o prihlaseni, pripadne zmenu nastaveni logu, aby se bud nic nelogovalo nebo jen poslednich par radku. Potom jeste proxy,... Nebo si udelejte rsc export a v text editoru hned uvidite, co neni vase nastaveni.
Marek