Хакнат микротик

[px1]

Здравейте, Хакнаха ми един mikrotik L4 на X86 платформа.

Беше ограничен за достъп само от 5 IP адреса и със спрени всички сървиси осен API и WINBOX

Има ли начин да се преинсталира флашката за да се запази лиценза ?

 

[JohnTRIVOLTA]

преди 14 минути, msboy написа:

Личи си че не си прочел и ред за компотите принципа на проникване (доколкото има официална и неофициална информация) и заради това цитираш WinBOX некомпетентно! .  

OK, щом така мислиш , успех с "вятърните мелници" !

[kokaracha]

Някой за ssh  тука чувал ли е ?

Иначе winbox е хубаво приложение за хакване 

[Самуил Арсов]

От 25 март досега си е минало доста време. Иначе си е написано кратко и ясно какъв е проблема и как се решава.

https://blog.mikrotik.com/security/winbox-vulnerability.html

Редактирано 2 Август, 2018 от samyil

[JohnTRIVOLTA]

Въпрос с повишена трудност към колегата smboy ,:

Ти приложението winbox ъпдейтна ли го навсякъде от местата където влизаш по устройствата си ?

 

[stel]

Преди 7 часа, samyil написа:

От 25 март досега си е минало доста време. Иначе си е написано кратко и ясно какъв е проблема и как се решава.

https://blog.mikrotik.com/security/winbox-vulnerability.html

Versions affected: 6.29 to 6.43rc3 (included). 

Това значели че с по стари версии този бъг го няма?

[JohnTRIVOLTA]

Преди 1 час, stel написа:

Versions affected: 6.29 to 6.43rc3 (included). 

Това значели че с по стари версии този бъг го няма?

Не , има го . За това се ползват последните версии на ROS и такава на WinBOX на който обаче трябва да се изтрие папката сторната в "System drive":\Documents and Settings\"username"\Application Data\Mikrotik преди да се запусне т.е. да не се ъпдейтва през нея, ако имаш вече компрометирано устройство - пояснявам и за колегата по-горе !

[stanstanyov]

Дойде официален мейл от Микротик по въпроса:

 

Hello,

It has come to our attention that a rogue botnet is currently using a vulnerability in the RouterOS Winbox 
service, that was patched in RouterOS v6.42.1 in April 23, 2018. 

Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with
the "Check for updates" button, if you haven't done so already. 

Steps to be taken: 

- Upgrade RouterOS to the latest release
- Change your password after upgrading
- Restore your configuration and inspect it for unknown settings
- Implement a good firewall according to the article here: 

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

All versions from 6.29 (release date: 2015/28/05) to 6.42 (release date 2018/04/20) are vulnerable.
Is your device affected? If you have open Winbox access to untrusted networks and are running one of the
affected versions: yes, you could be affected. Follow advice above. If Winbox is not available to internet,
you might be safe, but upgrade still recommended.

More information about the issue can be found here: https://blog.mikrotik.com

Best regards,
MikroTik

Редактирано 5 Август, 2018 от stanstanyov

[111111]

Латвииците нещо премълчават

 

Цитат

14:47:36 system,error,critical login failure for user operator from 104.236.146.185 via ssh 
15:29:19 system,error,critical login failure for user admin from 220.248.28.134 via ssh 
15:31:35 system,error,critical login failure for user hadoop from 91.202.222.69 via ssh 
16:27:56 system,error,critical login failure for user pi from 217.32.45.238 via ssh 
16:27:56 system,error,critical login failure for user pi from 217.32.45.238 via ssh 
16:48:13 system,error,critical login failure for user root from 213.137.49.12 via ssh 
17:20:52 system,error,critical login failure for user root from 180.97.151.4 via ssh 
17:54:01 system,error,critical login failure for user postgres from 218.255.231.10 via ssh 
18:07:40 system,error,critical login failure for user operator from 5.188.10.76 via ssh 
18:07:41 system,error,critical login failure for user osmc from 5.188.10.76 via ssh 
18:10:42 system,error,critical login failure for user root from 5.188.10.76 via ssh 
18:24:29 system,error,critical login failure for user root from 123.207.230.234 via ssh 
18:26:42 ssh,error Corrupt host's key, regenerating it! Reboot required! 
18:26:43 ssh,error Corrupt host's key, regenerating it! Reboot required! 
18:26:43 ssh,error Corrupt host's key, regenerating it! Reboot required! 
18:36:57 system,error,critical login failure for user root from 192.99.71.182 via ssh 
18:49:34 system,error,critical login failure for user ubnt from 118.25.8.132 via ssh 
19:19:33 system,error,critical login failure for user test from 201.55.174.19 via ssh 
19:23:02 ssh,error Corrupt host's key, regenerating it! Reboot required! 
19:23:04 ssh,error Corrupt host's key, regenerating it! Reboot required! 
19:23:06 ssh,error Corrupt host's key, regenerating it! Reboot required! 
19:41:53 system,error,critical login failure for user postgres from 139.99.42.75 via ssh 
19:45:45 system,error,critical login failure for user RPM from 103.230.242.27 via ssh 
19:51:39 system,error,critical login failure for user root from 5.188.10.76 via ssh 
19:51:42 system,error,critical login failure for user root from 5.188.10.76 via ssh 
19:51:54 system,error,critical login failure for user support from 5.188.10.76 via ssh 
19:57:24 ssh,error Corrupt host's key, regenerating it! Reboot required! 
19:58:27 system,error,critical login failure for user admin from 146.185.141.66 via ssh 
20:06:41 system,error,critical login failure for user root from 202.52.134.125 via ssh 
20:36:14 system,error,critical login failure for user root from 112.169.106.71 via ssh 
20:59:47 system,error,critical login failure for user admin from 93.88.34.112 via ssh 
20:59:53 system,error,critical login failure for user admin from 115.84.91.145 via ssh 
21:00:00 system,error,critical login failure for user admin from 183.88.37.244 via ssh 
21:00:12 ssh,info auth timeout 
 

А дайте логично обяснение как се регенерира хост ключа?
Борда е облъчен на интернет от 24ч с актуална версия

 

Цитат

#   LIST              ADDRESS                             
 0 D ssh_blacklist     167.114.13.147                  
 1 D ssh_blacklist     210.245.164.159         
 2 D ssh_blacklist     206.189.138.226                   
 3 D ssh_blacklist     204.8.156.142              
 4 D ssh_blacklist     178.128.10.8                    
 5 D ssh_blacklist     111.7.177.239               
 6 D ssh_blacklist     142.93.84.160              
 7 D ssh_blacklist     165.227.143.184                
 8 D ssh_blacklist     195.154.102.181             
 9 D ssh_blacklist     178.128.32.202                  
10 D ssh_blacklist     185.8.49.81                    
11 D ssh_blacklist     43.225.181.13                   

 

[gbdesign]

То е твърде вероятно, хакването да става именно през стари ssh ключове, генерирани предполагам автоматично и останали по рутерите, но пък имащи уязвимостта на open-ssl от преди няколко години. Ако е така, вероятно са уязвими само рутери на по няколко години.

[_mi_]

И на мен ми превзеха едно устройство, но ми се размина, атакуващият беше влязал и барал настройките по сървисите и само толкова(по лог)...! Локацията на ip-to беше от Hong Kong и беше успял да влезе от трети опит.  Добре, че имам mail notification  при critical error и веднага ме заваляха майлите на телефона и отреагирах и смених паролата и направих упдайт...!

 

[111111]

Регенерирай си ssh host ключа и го удължи.

[Стоян Иванов]

Хубаво че влязох тук тези дни, за да разбера за тази уязвимост. От известно време наблюдавах засилено сканиране на портовете, но го отдавах на търсене на двр-и, които до скоро бяха една от основните цели. За моя радост, може би съм съм уцелил точната конфигурация и не са успели да се доберат до нито един от микротиците. Тъй като нищо не се прави без някаква цел ми е интересно каква е целта тук? Компроментиране на Микротик, ресурси, информация? След като оставят трафика да върви, мисля че основната цел не е просто за чупене на конфигурацията. Някой има ли наблюдения какво се случва след като бъде хакнато някое устройство?

[master]

Трафика е доста сериозен на някой мт както казва колега по-горе. На единия мт направи почти гигабайт за 24h нещо което до момента не се е случвало.

[_mi_]

Днес се заех малко с проблема и намерих питонските файлове за експлоита....! Работи супер елегантно - сам си хаквах моите устройства, уязвимоста е при сървисите, ако там не набиеш ипитата за позволен достъп и си под версия 6.42 си открит като мишена на срелбище...!

Има цял туториал - ето и ресурсите.  ЗАБАВЛЯВАЙТЕ СЕ! 

На две у-ва ги бях забравил и ги бях пуснал позволен достъп  на усърите и като и като стартирах този скрип и като си видях паролите и лошо ми стана :DDD

-И си направих заключение: 1.смяна на порта за достъп + ip за достъп, firewall drop port scaning, и updates!

Редактирано 14 Август, 2018 от _mi_

[didZ]

Здравейте колеги. И на мен ми изхакаха доста устройства. Независимо дали са разрешени само определи IP-ta за достъп, независимо от версията, независимо от това че юзърнейма и паролите са меко казано сигурни. Общо взето използват бордовете за DNS сървъри. Също така и за WEB Proxy-ta. Правят си разни далавери през наши IP-та.. И сега, кооолкото и смешно да ви звучи.. Аз проблема за сега си го реших като свалих всичко на 5.26 и изрових от архивите си Winbox v2.2... Поздрави.