Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Mikrotik v6.41.2 hakovan! Obratite paznju!

[es] :: Wireless :: Mikrotik :: Mikrotik v6.41.2 hakovan! Obratite paznju!

Strane: 1 2 3

[ Pregleda: 8525 | Odgovora: 44 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

zecos
web

Član broj: 38944
Poruke: 197



+1 Profil

icon Mikrotik v6.41.2 hakovan! Obratite paznju!15.06.2018. u 17:59 - pre 70 meseci
U toku danasnjeg dana hakovan mi je mikrotik ruter, nije mi poznato kako je do toga doslo, uglavnom, primetih da mi je ssh aktivan iako znam da sam ga iskljucio, kasnije sam i nasao da je dodata skripta koja redovno na sajt salje user i pass na jedan server... Dodata jos jedna skripta pod nazivom PPOE, iskreno nisam stigao da gledam sta radi... Nemam predstavu na koji nacin bi dosli do sifre, random je sa velikim i malim slovima brojevima... sem ako nije nekako "uhvacena"
Za pristup mikrotiku sam koristio tikapp za android koja bi trebao da je oficialna aplikacija, ne vidim drugi nacin, sem nje...
Log-ovi su pobrisani bili uglavnom po uptime, sve se desilo oko 16h

Obratite paznju na tu verziju, mozda je ranjiva!
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.static.corp.blic.net.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!15.06.2018. u 18:16 - pre 70 meseci
A vulnerability exists in MikroTik's RouterOS in versions prior to the latest 6.41.3, released Monday, March 12, 2018. Details were discovered February and disclosed by Core Security on Thursday.

MikroTik is a Latvian manufacturer that develops routers and software used throughout the world. RouterOS is its Linux-based operating system.

The vulnerability, a MikroTik RouterOS SMB buffer overflow flaw, allows a remote attacker with access to the service to gain code execution on the system. Since the overflow occurs before authentication, an unauthenticated remote attacker can exploit it.
Remotely Exploitable Vulnerability Discovered in MikroTik's RouterOS
The vulnerability exists because the first byte of the source buffer is read and used as the size for the copy operation to the destination buffer -- but ultimately, no validation is performed to ensure that the data fits into the destination buffer, potentially allowing a stack overflow.

Core's vulnerability advisory includes a proof of concept exploit against MikroTik's x86 Cloud Hosted Router. The function is reached by sending a NetBIOS session request message. Data execution prevention (DEP) is bypassed with a return-oriented programming (ROP) chain that calls 'mprotect' to mark a memory region as both writable and executable. Address space layout randomization (ASLR) can be neutralized because the base address of the heap is not randomized. This allows a payload on the heap to jump to a fixed location.

"Our testing," says Core's advisory, "showed this approach to be extremely reliable." The reserved CVE number is CVE-2018-7445.

Core sent its initial vulnerability notice to MikroTik on February 19, 2018. On the same day, Core noticed the flaw was already scheduled for a fix by MikroTik in a new software release candidate. Core asked for a coordinated publication of the new version and its own advisory. It proposed March 1, 2018, which was confirmed by MikroTik. MikroTik then asked for an extension to Thursday, March 8, 2018, and then told Core it still wouldn't be ready.

On Monday, March 12, 2018, it released the new version. It did not inform Core, and there is no apparent mention of the flaw or the fix in its new version announcement to customers -- but it subsequently confirmed that the flaw has been fixed. MikroTik's advice for customers that cannot upgrade is that they should turn off SMB.

Last week, Kaspersky Lab released a report on a hacking group it calls Slingshot. It has identified around 100 victims. The attackers gain access by first getting control of MikroTik routers, and using that position to download DLL files to the target computer via MikroTik's Winbox management tool.

It is not clear at this point whether the Slingshot group gained access to the MikroTik routers using the CVE-2018-7445 vulnerability, but it is tempting to think so. Kaspersky Lab informed the company about its research prior to its own publication.

While the router vulnerability would be the first stage of the attack, the second stage would be the use of Winbox to get the malicious downloads. MikroTik claims on its support forum that Winbox is secure. In a thread started by a customer disturbed at learning about Slingshot from reports in the media rather than from MikroTik, MikroTik responded, "There is NO insecure Winbox v3. Winbox v3 was released in 2014. Even if somebody was using a really old Winbox v2, they still had to have an unsecured RouterOS device so that somebody could compromise it (firewall had to be removed). This is why they found only 120 affected machines since 2012."

The bottom line is that MikroTik is quick fix to issues it knows about, but prefers to maintain a low profile over those problems. The danger here is that existing customers might not be aware of the issues, and be in no hurry to upgrade. MikroTik customers should be aware that a proven proof of concept exploit for vulnerability CVE-2018-7445 is in the public domain, and the 'patch' for this exploit is to upgrade RouterOS to version 6.41.3
Šaka
 
Odgovor na temu

zecos
web

Član broj: 38944
Poruke: 197



+1 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!15.06.2018. u 18:23 - pre 70 meseci
Zanimljivo... nisam obracao paznju....
Uglavnom, sistem updated, user i pass promenjeni, trebam li jos na nesto obratiti paznju?

Hvala
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.static.corp.blic.net.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!15.06.2018. u 18:30 - pre 70 meseci
Mislim da bi trebalo da definises sa kojih se adresa moze prici 8291 portu i svim ostalim koje koristis za remote pristup.Plus mislim da ti je u tom MT-u napravljena skripta koja je slala user podatke na neku lokaciju...pa predpostavljam da isti podaci mogu biti posle upotrebljeni za pristup nekom od tvojih drugih Mt-a...ili ce mozda biti dodana na neku listu, pa kad oni silni botovi pokusavaju da se uloguju sa raznim konbinacijama user-a i pass-a
Šaka
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 00:04 - pre 70 meseci
Blic pitanje:

Odredjena ARM jezgra i dosta ostalih su podlozna Spectre/Meltdown napadima, bez patcha. Da nije to slucaj?
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
c-bg-d-p1-118.bvcom.net.



+1064 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 06:18 - pre 70 meseci
Nije za to ti vec treba pristup masini.
 
Odgovor na temu

zecos
web

Član broj: 38944
Poruke: 197



+1 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 08:26 - pre 70 meseci
Skriptu sam obrisao bila je napravljena, slala je user i pass svakih ne znam koliko vremena na www.boss-ip.com na njemu samo iis7 logo i zabranjen pristup folderima... nisam se dalje zamarao trazenjem, jer ako vec zna ovo sve da uradi, ne sumnjam da identitet nije sakrio... uglavnom, trenutno ne mogu da definisem adrese, ruteru pristupam iskljucivo sa wan strane posto sam van drzave, i imam dinamicku ip adresu... ostali ruteri su mi trenutno offline, "odsekao" sam ih tako da me oni ne brinu... ostao je samo ovaj glavni zbog interneta po kuci i vpn-a zbog inostranstva :)
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 08:28 - pre 70 meseci
Ne znam zašto držite menadžment portove otvorenim ka celom Internetu? Ovo nije prvi put, a neće biti ni poslednji pa MT ima probleme ovakvog tipa.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Living Light

Član broj: 331540
Poruke: 6709



+1156 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 08:47 - pre 70 meseci
Citat:
zecos:slala je user i pass svakih ne znam koliko vremena na www.boss-ip.com

Kad kliknem na njih, bude ovo:

Toliko mnogo knjiga, toliko malo vremena...
Prikačeni fajlovi
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 08:48 - pre 70 meseci
Imaju miner na tom sajtu. :D :D :D
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Living Light

Član broj: 331540
Poruke: 6709



+1156 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 08:52 - pre 70 meseci
Vladimire, da ti oma rečem, ja nemam pojma o čemu ti pričaš:
"Ne znam zašto držite menadžment portove otvorenim ka celom Internetu?"

Jer se u to ič ne razumem.

Kako ja da znam da li su mi ti pomenuti portovi otvoreni ili ne ?

Aj pomagaj, ali onako "kao za budalu", molim te.
Toliko mnogo knjiga, toliko malo vremena...
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
c-bg-d-p1-118.bvcom.net.



+1064 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 09:00 - pre 70 meseci
pa probas da se telnetujes (recimo sa putty-jem) na neki port preko spoljnog ip-a ili ako imas ddns preko domena ;)
portovi koje probas su 80, 443, 22 i 23.
 
Odgovor na temu

Living Light

Član broj: 331540
Poruke: 6709



+1156 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 09:04 - pre 70 meseci
Joj bre ljudi, oznojio sam se načisto.
Ništa Vas ja ne razumem.

Ok, jasno mi je, nisam ja ni toliko bitan,
valjda to razumeju ostali sagovornici i čitaoci teme.

Toliko mnogo knjiga, toliko malo vremena...
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 09:46 - pre 70 meseci
Jednostavno je. Firewall pravilom (koje po defaultu i jeste takvo), zabranjuje se input (dolazni) saobraćaj na sam Mikrotik (osim ICMP saobraćaja). Samim tim, čak i ako MT ima neku sigurnosnu manu, a imao ih, ima i imaće ih, kako niko spolja ne može da priđe da ga administrira, ne može ni da iskoristi taj propust.

Mene zanima zašto ljudi kroz firewall dozvoljavaju da bilo ko sa Interneta može da administrira Mikrotik ruter?
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Living Light

Član broj: 331540
Poruke: 6709



+1156 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 10:17 - pre 70 meseci
Sad već počinjem da vatam konce.
Hvala Vladimire.

Svako dobro.
Toliko mnogo knjiga, toliko malo vremena...
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
c-bg-d-p1-118.bvcom.net.



+1064 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 10:29 - pre 70 meseci
Citat:
bachi:
Jednostavno je. Firewall pravilom (koje po defaultu i jeste takvo), zabranjuje se input (dolazni) saobraćaj na sam Mikrotik (osim ICMP saobraćaja). Samim tim, čak i ako MT ima neku sigurnosnu manu, a imao ih, ima i imaće ih, kako niko spolja ne može da priđe da ga administrira, ne može ni da iskoristi taj propust.

Mene zanima zašto ljudi kroz firewall dozvoljavaju da bilo ko sa Interneta može da administrira Mikrotik ruter?


Pa kolko vidim OP pristupa ruteru iz inostranstva te sa te strane mora da otvori neke servise.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 10:48 - pre 70 meseci
Da, servis koji treba da otvori jeste VPN server, da se kači VPNom na ruter i onda ga administrira.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
c-bg-d-p1-118.bvcom.net.



+1064 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 10:50 - pre 70 meseci
Pretpostavljam da konfigurisanje vpn-a nije tako jednostavno kao otvaranje ssh porta ;P
Ali svakako da OP ubuduce treba tako da radi da ne bi dolazilo do slicnih iznenadjenja ;p
 
Odgovor na temu

linux_wlan
Aleksandar Nikolic
Loznica

Član broj: 10867
Poruke: 355
46.235.101.*

ICQ: 250378697


+9 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 10:59 - pre 70 meseci
Kako si obrisao skriptu ako je hackovan "kako treba" verovatno ne mozes da mu pridjes sa poznatim user/pass i da se ulogujes na njega.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 11:01 - pre 70 meseci
Citat:
Branimir Maksimovic:
Pretpostavljam da konfigurisanje vpn-a nije tako jednostavno kao otvaranje ssh porta ;P
Ali svakako da OP ubuduce treba tako da radi da ne bi dolazilo do slicnih iznenadjenja ;p

Nije naravno. Ako već se otvara pravilo, makar ga ograničiti da može sa određene ip adrese da se pristupa ili makar na nivou ISPa ili te zemlje, a i SSH/winbox da sluša na drugom nekom drugom portu, a ne na podrazumevanom isto tako pomaže.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Mikrotik v6.41.2 hakovan! Obratite paznju!

Strane: 1 2 3

[ Pregleda: 8525 | Odgovora: 44 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.