Mám hacknutý MikroTik?

daemon

Mám hacknutý MikroTik?
« kdy: 03. 09. 2018, 14:18:05 »
Stala se mi včera večer taková zvláštní věc.

Z ničehož nic se restartoval Mikrotik. Když jsem zkoumal o co jde, zjistil jsem, že je v něm nově verze 6.42.7 stable, místo původní 6.40.8 bugfix a navíc se do něj nedá přihlásit. Já jsem ale nic takového neudělal.

V tuto chvíli si to neumím vysvětlit jinak, než že mi ho někdo hacknul. Zatím se žádný vtipálek, který by mohl znát heslo a tedy takovou akci provést, nepřihlásil.

Nemáte někdo podobnou zkušenost nebo nevíte o co by mohlo jít?
« Poslední změna: 03. 09. 2018, 19:47:58 od Petr Krčmář »


kaktus

Re:hacknutý Mikrotik?
« Odpověď #1 kdy: 03. 09. 2018, 14:37:54 »
Nedávno (duben/květen) byl zveřejněn hack, pomocí kterého se dalo dostat do mikrotiku. Součástí útoku byl i php script, který pak nastahoval další bordel. https://www.root.cz/zpravicky/mikrotik-routery-napadeny-vkladaji-do-stranek-skript-na-tezeni-kryptomen/

Návod s fixem je někde na oficiálních stránkách mikrotiku, držím palce

kaktus

Re:hacknutý Mikrotik?
« Odpověď #2 kdy: 03. 09. 2018, 14:47:52 »

daemon

Re:hacknutý Mikrotik?
« Odpověď #3 kdy: 03. 09. 2018, 15:03:31 »
Nedávno (duben/květen) byl zveřejněn hack, pomocí kterého se dalo dostat do mikrotiku. Součástí útoku byl i php script, který pak nastahoval další bordel. https://www.root.cz/zpravicky/mikrotik-routery-napadeny-vkladaji-do-stranek-skript-na-tezeni-kryptomen/

Návod s fixem je někde na oficiálních stránkách mikrotiku, držím palce

Nj, jenže já tam měl ver. 6.40.8 bugfix, která už má tu zranitelnost dávno opravenou...

daemon

Re:hacknutý Mikrotik?
« Odpověď #4 kdy: 03. 09. 2018, 15:04:59 »
Affected all bugfix releases from 6.30.1 to 6.40.7, fixed in 6.40.8 on 2018-Apr-23


pepik

Re:hacknutý Mikrotik?
« Odpověď #5 kdy: 03. 09. 2018, 15:13:25 »
Může to být další vulnerabilita. Zálohovat zálohovat zálohovat.....

Madmucho

Re:hacknutý Mikrotik?
« Odpověď #6 kdy: 03. 09. 2018, 15:24:46 »
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Pokud zálohujete poznáte to i z diff konfigurace, například nám to naprášil <ad> unimus </ad>

Řešením je fixovat a winbox jen z adres listu Vámi známých Veřejných ip. Zranitelnosti jsou všude, je to jen otázkou času. Fix na to byl rychle. Mimo jiné je fix už i na zranitelnost ve WPA2, stačí si jí vypnout / zapnout vypnutí PMKID v security profilu wifiny.

Všecky tyhle veci se rozhodly hoši publikovat na svém bezpečnostním blogu, který mám v RSS kách a koukam co se kde šustne. Asi lepší než prodírat jejich forum.
https://blog.mikrotik.com/ Třeba to bude někomu užitečné.

Diskutuje se i o podobě scriptů aby si ISPčka mohly oskenovat vlastní IP rozsahy a pokud na to budou mít koule fixnuly přes tu chybu klientům jejich mikrotiky, dost se to zneužívá.

daemon

Re:hacknutý Mikrotik?
« Odpověď #7 kdy: 03. 09. 2018, 16:01:19 »
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Ale jaká je to zranitelnost? CVE?
Proti tomu winbox exploitu by ver. 6.40.8 bugfix měla být imunní. Stále nerozumím tomu, jak se to tam dostalo.

Madmucho

Re:hacknutý Mikrotik?
« Odpověď #8 kdy: 03. 09. 2018, 22:32:28 »
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Ale jaká je to zranitelnost? CVE?
Proti tomu winbox exploitu by ver. 6.40.8 bugfix měla být imunní. Stále nerozumím tomu, jak se to tam dostalo.

Zatím o žádné další zranitelnosti na aktuální verzi nevím, jen ale upozorním na to že ta minulá chyba winboxu, způsobila to že útočník dostal přístup ke všem účtům a heslům nebo hešům k nim, a pokud nedošlo k jejich změně muže je bez problémů použít na vystavený aktualizovaný winbox dále.

Toto jsem zaznamenal na jedné instalaci kterou hackly zkoumal jsem co se dělo, v centálním logu jsem nenalezl bruteforce na jméno a heslo nic, proste jeden den se někdo z jiné veřejky na mikrotik přihlásil winboxem na administrátorský učet (nikoli defualt admin) a konal. Na první pokus tam byl, šel na jisto.
Od té doby reset konfigurace a hesla, změna loginu per device jiný účet i heslo.

Jestli tam nemáte stále stejný login a heslo a utočník už jej neznál.

Lol Phirae

Re:hacknutý Mikrotik?
« Odpověď #9 kdy: 03. 09. 2018, 23:10:28 »
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

daemon

Re:hacknutý Mikrotik?
« Odpověď #10 kdy: 04. 09. 2018, 07:35:44 »
Stále nerozumím tomu, jak se to tam dostalo.

Tak to přestaň vystavovat do internetu... OMG.  ::)

Tohle snad ani nemá smysl komentovat...

daemon

Re:hacknutý Mikrotik?
« Odpověď #11 kdy: 04. 09. 2018, 08:07:17 »
Mimo zmiňovanou úprav router os verze, vypnutí default deny rules, scriptu na sosání čehosi z php url, útočníci také zapínají v takto napadeném mikrotiku socks proxy.

Ale jaká je to zranitelnost? CVE?
Proti tomu winbox exploitu by ver. 6.40.8 bugfix měla být imunní. Stále nerozumím tomu, jak se to tam dostalo.

Zatím o žádné další zranitelnosti na aktuální verzi nevím, jen ale upozorním na to že ta minulá chyba winboxu, způsobila to že útočník dostal přístup ke všem účtům a heslům nebo hešům k nim, a pokud nedošlo k jejich změně muže je bez problémů použít na vystavený aktualizovaný winbox dále.


To zní smysluplně.
Snažím se držet řadu bugfix a aktualizuji s jistým zpožděním, než se odjinud dozvím, co v nové verzi zase rozbili. Kdo Mikrotik používá delší dobu, ví o čem mluvím.
Nelze tedy vyloučit, že tam po určitou dobu byla zranitelná verze.
Současně, bohužel, na tomto zařízení mohl být Winbox dostupný z Internetu. Je o tom hezké přísloví o kovářově kobyle. Tomuto zařízení jsem nevěnoval v minulosti tolik péče, kolik by bylo vhodné. A já v tuto chvílí opravdu nevím, jestli byl dostupný zvenčí nebo ne.
Ale jsou to zatím pouze spekulace. Rád bych je potvrdil nebo vyvrátil.

bobosu

Re:hacknutý Mikrotik?
« Odpověď #12 kdy: 04. 09. 2018, 08:42:21 »
To zní smysluplně.
Snažím se držet řadu bugfix a aktualizuji s jistým zpožděním, než se odjinud dozvím, co v nové verzi zase rozbili. Kdo Mikrotik používá delší dobu, ví o čem mluvím.
Nelze tedy vyloučit, že tam po určitou dobu byla zranitelná verze.
Současně, bohužel, na tomto zařízení mohl být Winbox dostupný z Internetu. Je o tom hezké přísloví o kovářově kobyle. Tomuto zařízení jsem nevěnoval v minulosti tolik péče, kolik by bylo vhodné. A já v tuto chvílí opravdu nevím, jestli byl dostupný zvenčí nebo ne.
Ale jsou to zatím pouze spekulace. Rád bych je potvrdil nebo vyvrátil.
[/quote]

Já jsem zažil něco podobného, měl jsem jeden router s hackem, do něho jsem se nedostal. Ten jsem smazal obnovil ze zálohy a další jsem updatoval.
Následně vyšel další update a po update jsem se do jednoho routeru už nedostal, ačkoliv ten update jsem vyvolal já.
Pak už zbyl jen opět postup čisté instalace a obnova.
No a změna všech hesel včetně třeba vpn uživatelů ve všech boxech.
To je cca dva měsíce zpět od té doby klid. 

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Mám hacknutý MikroTik?
« Odpověď #13 kdy: 04. 09. 2018, 09:35:09 »
podobné problémy mě vyprovokovali dát za router IDS
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Ferda

Re:Mám hacknutý MikroTik?
« Odpověď #14 kdy: 04. 09. 2018, 10:33:33 »
Stala se mi včera večer taková zvláštní věc.

Z ničehož nic se restartoval Mikrotik. Když jsem zkoumal o co jde, zjistil jsem, že je v něm nově verze 6.42.7 stable, místo původní 6.40.8 bugfix a navíc se do něj nedá přihlásit. Já jsem ale nic takového neudělal.

V tuto chvíli si to neumím vysvětlit jinak, než že mi ho někdo hacknul. Zatím se žádný vtipálek, který by mohl znát heslo a tedy takovou akci provést, nepřihlásil.

Nemáte někdo podobnou zkušenost nebo nevíte o co by mohlo jít?

Kde ses pripojenej (tj. u jakeho ISP)?
Napr u nas v siti byl "navstevnik" a provedl nam problem na cca 800 routerboardech. Nasledkem toho jsme zacali postupne upgradovat (mj.) i krabicky useru, aby nemely stary firmware.
Pokud krabicka useru mela default heslo, bylo zmeneno. Duvod byl ten, ze "navstevnik" pouzival default hesla, aby se dostal do RBcek.