Перейти к содержимому
Калькуляторы

Проверьте свой микротик на взлом .

Тоже вчера два ccr-1036 чистил, но там была 6.38.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6.43 и 6.42.7 - уязвимость Winbox'а устранена. Обновите Winbox - если работаете с 6.43 - иначе не сможете залогиниться.

6.39.2 (stable) - эксплоит смог получить пароли Winbox'а при условии что все другие порты закрыты кроме порта Winbox Более старые версии не смог проверить - не нашел.

 

Судя по комментариям в эксплоите:  Mikrotik WinBox 6.42 - Credential Disclosure (Metasploit)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

один 6.36 он и после первых атак попадал, но там всё просто ничего серьёзного, другой  вроде 6.42.6 -он пострадал тяжелее пришлось сбросить и я сразу обновил на 6.43

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто-нибудь знает, что происходит с маршрутизатором после взлома? Он что вообще делает? У меня всё работает, как работало и после первого взлома, но просто интересно. 

Бэкап уже есть, но не хочу прерывать трафик для 6 клиентов в выходные, тем более, что LCD не заблокирован, и конфиг могу ресетнуть. Подожду до понедельника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

36 минут назад, Parrot сказал:

Кто-нибудь знает, что происходит с маршрутизатором после взлома? Он что вообще делает? У меня всё работает, как работало и после первого взлома, но просто интересно. 

Бэкап уже есть, но не хочу прерывать трафик для 6 клиентов в выходные, тем более, что LCD не заблокирован, и конфиг могу ресетнуть. Подожду до понедельника.

 Он просто становится членом сети из бэкдоров, и по команде хозяина бота, просто начинает пакостить. Для клиента - отчего-то скорость упала, ибо бот её выел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 15.09.2018 в 14:16, saaremaa сказал:

6.43 - Обновите Winbox - если работаете с 6.43 - иначе не сможете залогиниться.

6.43 работает и со старым winbox. Однако Btest со старых прошивок с новой не соединяется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Saab95 сказал:

6.43 работает и со старым winbox.

из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, Saab95 said:

6.43 работает и со старым winbox. Однако Btest со старых прошивок с новой не соединяется.

Да. Кстати, где можно взять виндовый btest.exe посвежей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, saaremaa сказал:

из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43

Специально проверил, работает со старым винбоксом 2.2.14. Однако у версии 6.43 еще есть какая-то проблема с авторизацией по радиусу - не работает (вернее работает как-то странно, видимо поломали).

 

51 минуту назад, andryas сказал:

Да. Кстати, где можно взять виндовый btest.exe посвежей?

С сайта микротика.

 

Тут проблема в том, что btest есть и на самом микротике, и если есть версия 6.43, то с ней старые версии не могут установить связь и нельзя проверить скорость. То есть на большой сети требуется все прошивки обновить, для возможности проверки скорости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, Saab95 said:

С сайта микротика.

Thx, Cap.

 

http://www.mikrotik.com/download/btest.exe  с 6.43 как не дружила, так и не дружит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 16.09.2018 в 23:13, saaremaa сказал:

из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43

Подтверждаю.

На одном работает, на втором нет. Пришлось скачивать 3.18

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 10.09.2018 в 09:32, Saab95 сказал:

Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN.

По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации.

Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 12/24/2018 at 8:01 AM, vadya said:

Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки?

Поможет, если с обновлением + отключение ненужных /ip service + желательно ограничить список адресов в /ip firewall filter в input_new_winbox_port

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.12.2018 в 08:01, vadya сказал:

Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки?

В этом случае выгодно установить какой-то слабенький микротик, на который пробросить порт или выделить белый IP, подключаться к нему, а уже через него на остальные устройства сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никогда такого не было и вот опять: https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, jffulcrum сказал:

Никогда такого не было и вот опять: https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html

пионеры, у которых winbox торчит в публичные сети опять будут плакать? :-)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и че это значит? Через порт Winbox перенаправление трафа будет идти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 minute ago, zhenya` said:

да, получается микротик используют как хттп прокси.

и это по порту именно winbox? А если не стандартный порт смотрит "на улицу"? А если на данный порт portknocking настроен? 

Я просто тогда не понимаю, а что мешает использовать любой другой порт на микротике, у которого белый адрес?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да. там дырка именно в винбоксе. https://www.tenable.com/security/research/tra-2019-07 тут больше подробностей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто не надо открывать порты на белом адресе. Если у вас есть некий удаленный микротик, то можно с него поднять L2TP туннель в центр и заходить уже по серым адресам, доступ извне тогда оказывается заблокирован и никаких проблем со взломом никогда не возникает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 minute ago, Saab95 said:

поднять L2TP туннель в центр

это всё понятно. А в центре стоит микротик... что с ним делать? :-)

У меня такая же картина сейчас. Есть 3 МТ с белыми адресами (админю 3 организации). Между ними построены ipip-туннели, поднят OSPF (для удобства администрирования, т.к. неизвестно за каким именно МТ я буду именно сейчас находится.) Но, winbox открыт "на улицу" и жестких ограничений по доступу из известных подсететй нет (никогда не знаешь откуда придется с ноута логинится для проверки того или иного сбоя) 

Закрылся portknocking-ом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что мешает дома поставить микротик с белым адресом, или арендовать место в ДЦ - к нему и подключаться, а уже оттуда на все микротики.

Другой вариант на имеющихся настроить учетную запись PPTP для подключения администратора, а с внешки винбокс закрыть - хотите подключиться, устанавливаете впн соединение и дальше по серым адресам работаете. Все равно же в локалку за микротиком как-то попадать надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Saab95 это всё понятно, я с Вами солидарен. Можно кучу схем секурности разработать.

Я по существу проблемы: т.е. впринцепе нельзя именно 8192 открывать? или вообще что либо открывать?

Вы пишите PPtP... ну это же как минимум 1723 нужно открыть "на улицу" (в данном случае лучше уж L2TP, про PPtP думаю известно многим)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там написано что порт винбокса могут использовать для уязвимости, не важно какой его номер. Что бы заблокировать достаточно в ip-services сделать ограничения, или закрыть файрволом. Ограничения по IP у админов не помогают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.