disappointed Опубликовано 15 сентября, 2018 · Жалоба Тоже вчера два ccr-1036 чистил, но там была 6.38. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 15 сентября, 2018 · Жалоба 6.43 и 6.42.7 - уязвимость Winbox'а устранена. Обновите Winbox - если работаете с 6.43 - иначе не сможете залогиниться. 6.39.2 (stable) - эксплоит смог получить пароли Winbox'а при условии что все другие порты закрыты кроме порта Winbox Более старые версии не смог проверить - не нашел. Судя по комментариям в эксплоите: Mikrotik WinBox 6.42 - Credential Disclosure (Metasploit) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ferdin Опубликовано 15 сентября, 2018 · Жалоба один 6.36 он и после первых атак попадал, но там всё просто ничего серьёзного, другой вроде 6.42.6 -он пострадал тяжелее пришлось сбросить и я сразу обновил на 6.43 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Parrot Опубликовано 15 сентября, 2018 · Жалоба Кто-нибудь знает, что происходит с маршрутизатором после взлома? Он что вообще делает? У меня всё работает, как работало и после первого взлома, но просто интересно. Бэкап уже есть, но не хочу прерывать трафик для 6 клиентов в выходные, тем более, что LCD не заблокирован, и конфиг могу ресетнуть. Подожду до понедельника. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 15 сентября, 2018 · Жалоба 36 минут назад, Parrot сказал: Кто-нибудь знает, что происходит с маршрутизатором после взлома? Он что вообще делает? У меня всё работает, как работало и после первого взлома, но просто интересно. Бэкап уже есть, но не хочу прерывать трафик для 6 клиентов в выходные, тем более, что LCD не заблокирован, и конфиг могу ресетнуть. Подожду до понедельника. Он просто становится членом сети из бэкдоров, и по команде хозяина бота, просто начинает пакостить. Для клиента - отчего-то скорость упала, ибо бот её выел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 сентября, 2018 · Жалоба В 15.09.2018 в 14:16, saaremaa сказал: 6.43 - Обновите Winbox - если работаете с 6.43 - иначе не сможете залогиниться. 6.43 работает и со старым winbox. Однако Btest со старых прошивок с новой не соединяется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 16 сентября, 2018 · Жалоба 1 час назад, Saab95 сказал: 6.43 работает и со старым winbox. из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 16 сентября, 2018 · Жалоба 2 hours ago, Saab95 said: 6.43 работает и со старым winbox. Однако Btest со старых прошивок с новой не соединяется. Да. Кстати, где можно взять виндовый btest.exe посвежей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 сентября, 2018 · Жалоба 2 часа назад, saaremaa сказал: из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43 Специально проверил, работает со старым винбоксом 2.2.14. Однако у версии 6.43 еще есть какая-то проблема с авторизацией по радиусу - не работает (вернее работает как-то странно, видимо поломали). 51 минуту назад, andryas сказал: Да. Кстати, где можно взять виндовый btest.exe посвежей? С сайта микротика. Тут проблема в том, что btest есть и на самом микротике, и если есть версия 6.43, то с ней старые версии не могут установить связь и нельзя проверить скорость. То есть на большой сети требуется все прошивки обновить, для возможности проверки скорости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 16 сентября, 2018 · Жалоба 2 hours ago, Saab95 said: С сайта микротика. Thx, Cap. http://www.mikrotik.com/download/btest.exe с 6.43 как не дружила, так и не дружит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 18 сентября, 2018 · Жалоба В 16.09.2018 в 23:13, saaremaa сказал: из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43 Подтверждаю. На одном работает, на втором нет. Пришлось скачивать 3.18 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadya Опубликовано 24 декабря, 2018 · Жалоба В 10.09.2018 в 09:32, Saab95 сказал: Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN. По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации. Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 28 декабря, 2018 · Жалоба On 12/24/2018 at 8:01 AM, vadya said: Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки? Поможет, если с обновлением + отключение ненужных /ip service + желательно ограничить список адресов в /ip firewall filter в input_new_winbox_port Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2019 · Жалоба В 24.12.2018 в 08:01, vadya сказал: Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки? В этом случае выгодно установить какой-то слабенький микротик, на который пробросить порт или выделить белый IP, подключаться к нему, а уже через него на остальные устройства сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 25 февраля, 2019 · Жалоба Никогда такого не было и вот опять: https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 февраля, 2019 · Жалоба 12 минут назад, jffulcrum сказал: Никогда такого не было и вот опять: https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html пионеры, у которых winbox торчит в публичные сети опять будут плакать? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romsan Опубликовано 26 февраля, 2019 · Жалоба и че это значит? Через порт Winbox перенаправление трафа будет идти? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 26 февраля, 2019 · Жалоба да, получается микротик используют как хттп прокси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romsan Опубликовано 26 февраля, 2019 · Жалоба 1 minute ago, zhenya` said: да, получается микротик используют как хттп прокси. и это по порту именно winbox? А если не стандартный порт смотрит "на улицу"? А если на данный порт portknocking настроен? Я просто тогда не понимаю, а что мешает использовать любой другой порт на микротике, у которого белый адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 26 февраля, 2019 · Жалоба да. там дырка именно в винбоксе. https://www.tenable.com/security/research/tra-2019-07 тут больше подробностей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 февраля, 2019 · Жалоба Просто не надо открывать порты на белом адресе. Если у вас есть некий удаленный микротик, то можно с него поднять L2TP туннель в центр и заходить уже по серым адресам, доступ извне тогда оказывается заблокирован и никаких проблем со взломом никогда не возникает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romsan Опубликовано 26 февраля, 2019 · Жалоба 1 minute ago, Saab95 said: поднять L2TP туннель в центр это всё понятно. А в центре стоит микротик... что с ним делать? :-) У меня такая же картина сейчас. Есть 3 МТ с белыми адресами (админю 3 организации). Между ними построены ipip-туннели, поднят OSPF (для удобства администрирования, т.к. неизвестно за каким именно МТ я буду именно сейчас находится.) Но, winbox открыт "на улицу" и жестких ограничений по доступу из известных подсететй нет (никогда не знаешь откуда придется с ноута логинится для проверки того или иного сбоя) Закрылся portknocking-ом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 февраля, 2019 · Жалоба Что мешает дома поставить микротик с белым адресом, или арендовать место в ДЦ - к нему и подключаться, а уже оттуда на все микротики. Другой вариант на имеющихся настроить учетную запись PPTP для подключения администратора, а с внешки винбокс закрыть - хотите подключиться, устанавливаете впн соединение и дальше по серым адресам работаете. Все равно же в локалку за микротиком как-то попадать надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romsan Опубликовано 26 февраля, 2019 · Жалоба @Saab95 это всё понятно, я с Вами солидарен. Можно кучу схем секурности разработать. Я по существу проблемы: т.е. впринцепе нельзя именно 8192 открывать? или вообще что либо открывать? Вы пишите PPtP... ну это же как минимум 1723 нужно открыть "на улицу" (в данном случае лучше уж L2TP, про PPtP думаю известно многим) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 февраля, 2019 · Жалоба Там написано что порт винбокса могут использовать для уязвимости, не важно какой его номер. Что бы заблокировать достаточно в ip-services сделать ограничения, или закрыть файрволом. Ограничения по IP у админов не помогают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...