McSea Posted April 23, 2018 (edited) · Report post Тема на форуме микротиков. Quote We have discovered a new RouterOS vulnerability affecting all RouterOS versions since v6.29. How it works: The vulnerability allowed a special tool to connect to the Winbox port, and request the system user database file. Versions affected: 6.29 to 6.43rc3 (included). Updated versions in all release chains coming ASAP. Edit: v6.42.1 and v6.43rc4 have been released! Am I affected? Currently there is no sure way to see if you were affected. If your Winbox port is open to untrusted networks, assume that you are affected and upgrade + change password + add firewall. The log may show unsuccessful login attempt, followed by a succefful login attempt from unknown IP addresses. What do do: 1) Firewall the Winbox port from the public interface, and from untrusted networks. It is best, if you only allow known IP addresses to connect to your router to any services, not just Winbox. We suggest this to become common practice. As an alternative, possibly easier, use the "IP -> Services" menu to specify "Allowed From" addresses. Include your LAN, and the public IP that you will be accessing the device from. 2) Change your passwords. What to expect in the coming hours/days: Updated RouterOS versions coming ASAP. RouterOS user database security will be hardened, and deciphering will no longer be possible in the same manner. Edited April 23, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted April 24, 2018 · Report post МТ решил не отставать от тенденций мэйнстрима и запилил дырку по-взрослому (правда апдейт уже выкатил). Бывает... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 26, 2018 · Report post Всё это очень радует. Люди наконец-то вспомнят, что вешать ACL на mgmt это правила хорошего тона Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 26, 2018 · Report post 8 часов назад, s.lobanov сказал: Люди наконец-то вспомнят, что вешать ACL на mgmt это правила хорошего тона К сожалению, часто бывает что в аварийных ситуациях это работает против себя-же чаще, чем риски от дыр и хакеров. То есть "на всякий случай" нужен достаточно обширный ACL , который обновлять по ситуации через какой-нибудь pupplet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 26, 2018 · Report post На микротик можно всегда по мак-телнету зайти, даже если полностью доступ по IP перекрыть. А если вести разговор про устройства с внешними IP - так можно управление только на локальные адреса перевести внутри туннеля, который куда-то в центр поднимается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted April 26, 2018 · Report post Да кто ваще включает винбокс на микроте? Консоле же есть! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 26, 2018 · Report post 2 часа назад, LostSoul сказал: К сожалению, часто бывает что в аварийных ситуациях это работает против себя-же чаще, чем риски от дыр и хакеров. То есть "на всякий случай" нужен достаточно обширный ACL , который обновлять по ситуации через какой-нибудь pupplet Да, конечно, ACL должен быть таким, чтобы там не был один единственный сервер, который стоит за asbr и на него не попасть, когда на том самом asbr проблемы. Т.е. прописать ещё несколько IP-адресов типа пары виртуалок, живущих в другой AS, домашние IP админов и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 27, 2018 · Report post 12 часов назад, s.lobanov сказал: Да, конечно, ACL должен быть таким, чтобы там не был один единственный сервер, часто это оказывается в критической ситуации вообще 4G или wifi от конкурентов из соседнего офиса :-) Кстати с 4G практически нет атак ботами. Поэтому у меня кое где в ACL прописаны все блоки динамических адресов LTE мегафона :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 27, 2018 · Report post Жесткий ACL на mgmt не всегда оптимален. Лучше на ACL блокировать только богоны, а защиту делать автобаном на час. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 27, 2018 · Report post 11 минут назад, alibek сказал: автобаном на час. автобан на час тоже против тебя сработает. когда будешь замерзшими пальцами по сенсорному экрану на лагающем канале пароль вслепую набивать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 27, 2018 · Report post Ну так для автобана нужно правильные пороги настроить. Разумеется автобан не должен срабатывать на первой же попытке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 27, 2018 · Report post 38 минут назад, alibek сказал: Жесткий ACL на mgmt не всегда оптимален. Лучше на ACL блокировать только богоны, а защиту делать автобаном на час. ну-ну. во-первых куча оборудования не умеет автобан, а во-вторых при наличии уязвимостей как сабжевая или недавно у cisco, автобан вам не поможет 42 минуты назад, LostSoul сказал: часто это оказывается в критической ситуации вообще 4G или wifi от конкурентов из соседнего офиса :-) да, поэтому у правильных пацанов всегда есть пара запасных jumphost-ов в других AS, которые прописаны в acl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 27, 2018 · Report post 2 минуты назад, s.lobanov сказал: да, поэтому у правильных пацанов всегда есть пара запасных jumphost-ов в других AS, которые прописаны в acl ситуаций бесчисленное множество. а может получится что надо от своего абонента ближайшего вылезти, когда "мир" отвалился. ну или даже просто с узла агрегации Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 27, 2018 · Report post ну хз, когда у меня мир отваливается по проводу, я раздаю инет сам себе через 3g/4g Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted April 27, 2018 · Report post 2 часа назад, LostSoul сказал: часто это оказывается в критической ситуации вообще 4G или wifi от конкурентов из соседнего офиса :-) port-knocking же. очень несложно настраивается на микротах. Постучали в разные порты - получили вожделенный винбокс открытый только для вашего ипа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 27, 2018 · Report post 50 минут назад, EugeneTV сказал: port-knocking же. очень несложно настраивается на микротах. Постучали в разные порты - получили вожделенный винбокс открытый только для вашего ипа. а чем вы стучите с андроида? ну хотя можно конечно и браузером :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 27, 2018 · Report post Я Ping & Net пользуюсь. Подобный утилит в маркете много, но эта более-менее нормально работает и не заваливает все рекламными банерами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted April 27, 2018 · Report post 1 час назад, LostSoul сказал: а чем вы стучите с андроида? А надо стучать с него? Винбокс все-таки больше десктопная апликуха, ведь он нем речь. А так да: 1 час назад, alibek сказал: Подобный утилит в маркете много Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...