[McSea]

Тема на форуме микротиков.

 

Quote

We have discovered a new RouterOS vulnerability affecting all RouterOS versions since v6.29. 

How it works: The vulnerability allowed a special tool to connect to the Winbox port, and request the system user database file. 

Versions affected: 6.29 to 6.43rc3 (included). Updated versions in all release chains coming ASAP. Edit: v6.42.1 and v6.43rc4 have been released! 

Am I affected? Currently there is no sure way to see if you were affected. If your Winbox port is open to untrusted networks, assume that you are affected and upgrade + change password + add firewall. The log may show unsuccessful login attempt, followed by a succefful login attempt from unknown IP addresses. 

What do do: 1) Firewall the Winbox port from the public interface, and from untrusted networks. It is best, if you only allow known IP addresses to connect to your router to any services, not just Winbox. We suggest this to become common practice. As an alternative, possibly easier, use the "IP -> Services" menu to specify "Allowed From" addresses. Include your LAN, and the public IP that you will be accessing the device from. 2) Change your passwords. 

What to expect in the coming hours/days: Updated RouterOS versions coming ASAP. RouterOS user database security will be hardened, and deciphering will no longer be possible in the same manner. 

 

Изменено 23 апреля, 2018 пользователем McSea

[DRiVen]

МТ решил не отставать от тенденций мэйнстрима и запилил дырку по-взрослому (правда апдейт уже выкатил). Бывает...

[s.lobanov]

Всё это очень радует. Люди наконец-то вспомнят, что вешать ACL на mgmt это правила хорошего тона

[LostSoul]

8 часов назад, s.lobanov сказал:

Люди наконец-то вспомнят, что вешать ACL на mgmt это правила хорошего тона

К сожалению, часто бывает что в аварийных ситуациях это работает против себя-же чаще, чем риски от дыр и хакеров.

То есть "на всякий случай" нужен достаточно обширный ACL , который обновлять по ситуации через какой-нибудь pupplet

 

[Saab95]

На микротик можно всегда по мак-телнету зайти, даже если полностью доступ по IP перекрыть. А если вести разговор про устройства с внешними IP - так можно управление только на локальные адреса перевести внутри туннеля, который куда-то в центр поднимается.

[VolanD666]

Да кто ваще включает винбокс на микроте? Консоле же есть!

[s.lobanov]

2 часа назад, LostSoul сказал:

К сожалению, часто бывает что в аварийных ситуациях это работает против себя-же чаще, чем риски от дыр и хакеров.

То есть "на всякий случай" нужен достаточно обширный ACL , который обновлять по ситуации через какой-нибудь pupplet

 

Да, конечно, ACL должен быть таким, чтобы там не был один единственный сервер, который стоит за asbr и на него не попасть, когда на том самом asbr проблемы. Т.е. прописать ещё несколько IP-адресов типа пары виртуалок, живущих в другой AS, домашние IP админов и т.п.

[LostSoul]

12 часов назад, s.lobanov сказал:

Да, конечно, ACL должен быть таким, чтобы там не был один единственный сервер,

часто это оказывается в критической ситуации вообще 4G  или wifi от конкурентов из соседнего офиса :-)

Кстати с 4G практически нет атак ботами. Поэтому у меня кое где в ACL прописаны все блоки динамических адресов LTE мегафона :-)

 

[alibek]

Жесткий ACL на mgmt не всегда оптимален.

Лучше на ACL блокировать только богоны, а защиту делать автобаном на час.

[LostSoul]

11 минут назад, alibek сказал:

автобаном на час.

автобан на час тоже против тебя сработает.

когда будешь замерзшими пальцами по сенсорному экрану на лагающем канале пароль вслепую набивать

 

[alibek]

Ну так для автобана нужно правильные пороги настроить.

Разумеется автобан не должен срабатывать на первой же попытке.

[s.lobanov]

38 минут назад, alibek сказал:

Жесткий ACL на mgmt не всегда оптимален.

Лучше на ACL блокировать только богоны, а защиту делать автобаном на час.

ну-ну. во-первых куча оборудования не умеет автобан, а во-вторых при наличии уязвимостей как сабжевая или недавно у cisco, автобан вам не поможет

 

42 минуты назад, LostSoul сказал:

часто это оказывается в критической ситуации вообще 4G  или wifi от конкурентов из соседнего офиса :-)

да, поэтому у правильных пацанов всегда есть пара запасных jumphost-ов в других AS, которые прописаны в acl

[LostSoul]

2 минуты назад, s.lobanov сказал:

да, поэтому у правильных пацанов всегда есть пара запасных jumphost-ов в других AS, которые прописаны в acl

ситуаций бесчисленное множество.

а может получится что надо от своего абонента ближайшего вылезти, когда "мир" отвалился.

ну или даже просто с узла агрегации

 

[s.lobanov]

ну хз, когда у меня мир отваливается по проводу, я раздаю инет сам себе через 3g/4g

[EugeneTV]

2 часа назад, LostSoul сказал:

часто это оказывается в критической ситуации вообще 4G  или wifi от конкурентов из соседнего офиса :-)

port-knocking же. очень несложно настраивается на микротах. Постучали в разные порты - получили вожделенный винбокс открытый только для вашего ипа.

[LostSoul]

50 минут назад, EugeneTV сказал:

port-knocking же. очень несложно настраивается на микротах. Постучали в разные порты - получили вожделенный винбокс открытый только для вашего ипа.

а чем вы стучите с андроида?

ну хотя можно конечно и браузером :)

 

[alibek]

Я Ping & Net пользуюсь.

Подобный утилит в маркете много, но эта более-менее нормально работает и не заваливает все рекламными банерами.

[EugeneTV]

1 час назад, LostSoul сказал:

а чем вы стучите с андроида?

А надо стучать с него? Винбокс все-таки больше десктопная апликуха, ведь он нем речь. А так да:

 

1 час назад, alibek сказал:

Подобный утилит в маркете много