Jump to content
  • 0
111111

VPNFilter атака над MikroTik

Въпрос

111111

Както сигурно сте прочели по новините VPNFilter атаката придобива права за управление на рутери от доста марки включае и на Микротик.

Изключително атакува ADMIN акаунта и прави невъзможно ползването на администрирането на рутера.
Кoйтo имa втoри aкayнт или всe oщe нямa дa си нaпрaви, чe тoвa e шaнс дa си възвърнe прaвaтa.

Атаката се осъществява по

Моля, влезте или се регистрирайте, за да видите този link.

Моля, влезте или се регистрирайте, за да видите този link.

Сложността на админ паролата явно не е фактор.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

14 отговори на този въпрос

Recommended Posts

  • 0
px1

При мен в един от микротиците имах два акаунта но не помогна.

Бяха сменени всички пароли.

Помогна само качване на backup.

CCR го нулирах но Х86 ще го дам на колега да се бори с разбиването.

Интересно е че с юзернеймите от хакнатия CCR са са пробвали по telnet и в други мои устройства но без успех.

Явно сменят паролата но не могат да видят оригиналната.

Редактирано от px1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
msboy

Както винаги има и такива които са от тъмната страна на ИТ технологиите. Дано целта на е да компроментират продуктите на Микротик т.е. да ги пратят в графа "ненадеждни" и по такъв начин да сринат продажбите и фирмата. Защото с последните няколко месеца много станаха такива "дупки" в системата на Микротик. А какво ли ще стане с правителствените МИкротици ? или поне там където се ползват. Надявам се в най скоро време екипа на Микротик да изкара ъпдейт.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
WeAreFinite

Моля, влезте или се регистрирайте, за да видите този link.


At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices. However, all of the affected makes/models that we have uncovered had well-known, public vulnerabilities.

Преведено:
Към момента на публикацията, нямаме доказателства как точно малуеъра екплоатира афектираните устройства. Но, всички засегнати устройства от Производител/Модел които сме открили са имали добре познати публични уязвимости.

В УРЛ-а който е към микротик форума пише, че рутерите на Микротик са уязвими поради http server уязвимостта която поправиха във версия 6.38.5, така че ъпгрейдвайте ако сте с по-стара версия.

Ако нещо бъркам, ще се радвам да бъда поправен.

Поздрави!

Редактирано от WeAreFinite
Правописна грешка

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Да уточня че рутер който хакнаха беше с версия 6,41 забранени всички услуги освен winbox и SSH

има и скрипт за блокиране на SSH проби за влизане 


 но за няколко минути се е събрала бая адресна група
като една ирланска VPS хостинг услуга се беше набила с 5 адреса в рутера 

паролата на админа 12 символа никакъв шанс да е в лист с пароли

 

Та дали са пет четири или шест лева не знам но явно е ефективно.

Папката "nova" от онея листи е папка от микротик структурата.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
WeAreFinite

Всичкото е много хубаво (сарказъм), ама тва няма нищо общо с VPNfilter, приеми факта, че си жертва на бруут форс (но като гледам фаъруалл правилото което си имплементирал малко е невъзможно, но ако атакуващият разполага с голяма ботнет мрежа не виждам какъв е проблема да те атакува от устройства с различни адреси 3 опита са си 3 опита на устройство от бот нет мрежата)  или на MITM (Man In The Middle), по какъв начин точно е станало може само да гадаем, ааа също така само да подметна, че може и да имаш кий логър, знам ли какво точно е?
Но не може просто така да обвиняваш пробива поради някаква слабост в софтуера (която вече е поправена), не че ги защитавам, кой знае колко още ще открият в бъдещето.

И това, че тая директория я има в тея листи не означава че си хакнат чрез този малуеър през SSH.

https://news.sophos.com/en-us/2018/05/24/vpnfilter-botnet-a-sophoslabs-analysis/

Тук също така е описано, че малуеъра може да се разпространи от заразен компютър в мрежата.
В този случай трябват солидни доказателства, че е точно от този малуеър, ако искаш можеш да се свържеш с Микротик съпорта и да им пратиш един supout файл, хората ще проявят разбиране.

Поздрави!

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

С 12 символа парола брутфорса ще бутне мрежата на доставчика и неговия преди да успее.
Паролата е генерирана така че логика в нея няма.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
WeAreFinite

Не си прав, ето ти бруут форс в реално време :Д
Вярно не е от бот нет мрежа, ама и да беше нищо нямаше да събори.
В случая на тва чудо има вързани и два телефона в момента, а скрийншота е направен във възможно най-натовареният момент.

И пак ти казвам MITM, кий логър и също така не изключвай бруут форс варианта, защото речниците не са единственият начин по който може да се бруут форсва.
Вместо само да спорим напразно, се свържи със съпорта и питай, ако ли не, не смятам че можеш да извадиш достатъчно убедителни доказателства, че точно с този малуеър са те компрометирали.

П.п. За интересуващите се бруут форса беше изпълнен с хидра и с рандъм генерирани стрингове доста по-дълги от 12 символа.

Поздрави!

Моля, влезте или се регистрирайте, за да видите този attachment.

Редактирано от WeAreFinite
Правописна грешка

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
office

Дрънкаш пълни глупости вземи прочети малко преди да пишеш глупости на които сам да си вярваш :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
WeAreFinite

Ще е хубаво да се аргументираш, защото фразата "дрънкаш пълни глупости" и нападката която следва след това не са достатъчно добър аргумент с който можеш да обориш това което съм казал.
(Пък и няма да се сърдя ако ми препоръчаш хубаво четиво.)

Я сега да задам един въпрос за домашно, колко голям като размер е един рандъм генериран стринг от 120 символа?
Айде да речем, че и юзърнейма е 120 символа, колко прави това общо?

Поздрави!

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Точно 1 пакет който е с размер до 1480 бита без фрагментиране,

при 120 символа ще е с доста по малък размер под 300 бита.

и за да тестваш може да използваш 
/tools flood-ping 

за да разбереш разликата.

Четиво няма да ти споделяме по тематиката, защото е елементарно да си намериш автономно.
 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
WeAreFinite

Правилен отговор, ся ми кажи тва как ще ти задръсти мрежата дори и от бот нет мрежа :Д (особено след като имаш правило за бруут форс и всеки като направи 3 опита влиза в бан листа)
Отклоняваш се от темата, дръпни си какъвто искаш бруут форсъс и тествай.
Явно няма да се разберем.

И да вметна отново, не ти писах да се заяждам а да ти кажа че VPNFilter няма нищо общо с това как си компрометиран, ако имаш доказателства сочещи към обратното, ще бъда щастлив ако бъда поправен.
Във УРЛ-а (който е към официалният форум на Микротик) няколко поста по-нагоре, потребител с юзърнейм normis (работещ в Микротик) казва от какво се възползва даденият малуеър когато атакува Микротик устройства, ако беше прочел всичките 3 страници, щеше да откриеш, че даже имаше един който е с горе-долу същият случай като твоят и е с версия 6.41 и въпросният normis му каза, че са наблюдавали подобен трафик и е бруут форс със сигурност.

Просто всяваш ненужна паника според мен, за това реших да драсна нещо.

Приятен ден!

Редактирано от WeAreFinite
Допълнение

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
gbdesign

120 символа са 120 байта, което пък е 960 бита. Като прибавим сорс, дестинейшън портове и адреси и другата служебна информация в пакета, то това тамън ще се побере в един стандартен пакет. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ExIt

Добре е момци, защо трябва се дракате, а не споделите просто практиките които имате.

Идеята е, че всеки който ползва миркотик го ползва с определена цел, но някой от вас които са повече(администратори или ги използва за по мащабни цели.) биха могли да споделят как да се предпазим ние начинаещите.

Идеята ми е не са са Копи/Пасте от някъде, а и да се опише подробно какво прави дадено правил за да сме наясно.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
gbdesign
преди 27 минути, ExIt написа:

Добре е момци, защо трябва се дракате, а не споделите просто практиките които имате.

Идеята е, че всеки който ползва миркотик го ползва с определена цел, но някой от вас които са повече(администратори или ги използва за по мащабни цели.) биха могли да споделят как да се предпазим ние начинаещите.

Идеята ми е не са са Копи/Пасте от някъде, а и да се опише подробно какво прави дадено правил за да сме наясно.

 

Много просто. Изключване на вграденият уебсървър и дроп на всички сервизни портове от към WAN-а и мениджмънт само през локалните адреси и през VPN.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

By using this site, you agree to our Terms of Use.