Jump to content
Калькуляторы

Проверьте свой микротик на взлом .

6.43 и 6.42.7 - уязвимость Winbox'а устранена. Обновите Winbox - если работаете с 6.43 - иначе не сможете залогиниться.

6.39.2 (stable) - эксплоит смог получить пароли Winbox'а при условии что все другие порты закрыты кроме порта Winbox Более старые версии не смог проверить - не нашел.

 

Судя по комментариям в эксплоите:  Mikrotik WinBox 6.42 - Credential Disclosure (Metasploit)

Share this post


Link to post
Share on other sites

один 6.36 он и после первых атак попадал, но там всё просто ничего серьёзного, другой  вроде 6.42.6 -он пострадал тяжелее пришлось сбросить и я сразу обновил на 6.43

Share this post


Link to post
Share on other sites

Кто-нибудь знает, что происходит с маршрутизатором после взлома? Он что вообще делает? У меня всё работает, как работало и после первого взлома, но просто интересно. 

Бэкап уже есть, но не хочу прерывать трафик для 6 клиентов в выходные, тем более, что LCD не заблокирован, и конфиг могу ресетнуть. Подожду до понедельника.

Share this post


Link to post
Share on other sites
36 минут назад, Parrot сказал:

Кто-нибудь знает, что происходит с маршрутизатором после взлома? Он что вообще делает? У меня всё работает, как работало и после первого взлома, но просто интересно. 

Бэкап уже есть, но не хочу прерывать трафик для 6 клиентов в выходные, тем более, что LCD не заблокирован, и конфиг могу ресетнуть. Подожду до понедельника.

 Он просто становится членом сети из бэкдоров, и по команде хозяина бота, просто начинает пакостить. Для клиента - отчего-то скорость упала, ибо бот её выел.

Share this post


Link to post
Share on other sites
В 15.09.2018 в 14:16, saaremaa сказал:

6.43 - Обновите Winbox - если работаете с 6.43 - иначе не сможете залогиниться.

6.43 работает и со старым winbox. Однако Btest со старых прошивок с новой не соединяется.

Share this post


Link to post
Share on other sites
1 час назад, Saab95 сказал:

6.43 работает и со старым winbox.

из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43

Share this post


Link to post
Share on other sites
2 hours ago, Saab95 said:

6.43 работает и со старым winbox. Однако Btest со старых прошивок с новой не соединяется.

Да. Кстати, где можно взять виндовый btest.exe посвежей?

Share this post


Link to post
Share on other sites
2 часа назад, saaremaa сказал:

из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43

Специально проверил, работает со старым винбоксом 2.2.14. Однако у версии 6.43 еще есть какая-то проблема с авторизацией по радиусу - не работает (вернее работает как-то странно, видимо поломали).

 

51 минуту назад, andryas сказал:

Да. Кстати, где можно взять виндовый btest.exe посвежей?

С сайта микротика.

 

Тут проблема в том, что btest есть и на самом микротике, и если есть версия 6.43, то с ней старые версии не могут установить связь и нельзя проверить скорость. То есть на большой сети требуется все прошивки обновить, для возможности проверки скорости.

Share this post


Link to post
Share on other sites
В 16.09.2018 в 23:13, saaremaa сказал:

из личного опыта - после обновления на 6.43 Winbox 3.17 не подключался на ROS 6.43

Подтверждаю.

На одном работает, на втором нет. Пришлось скачивать 3.18

Share this post


Link to post
Share on other sites
В 10.09.2018 в 09:32, Saab95 сказал:

Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN.

По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации.

Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки?

Share this post


Link to post
Share on other sites
On 12/24/2018 at 8:01 AM, vadya said:

Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки?

Поможет, если с обновлением + отключение ненужных /ip service + желательно ограничить список адресов в /ip firewall filter в input_new_winbox_port

Share this post


Link to post
Share on other sites
В 24.12.2018 в 08:01, vadya сказал:

Если нужен доступ без ограничений по IP и VPN нет возможности использовать. Смена порта поможет, не считая обновления прошивки?

В этом случае выгодно установить какой-то слабенький микротик, на который пробросить порт или выделить белый IP, подключаться к нему, а уже через него на остальные устройства сети.

Share this post


Link to post
Share on other sites
12 минут назад, jffulcrum сказал:

Никогда такого не было и вот опять: https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html

пионеры, у которых winbox торчит в публичные сети опять будут плакать? :-)

 

Share this post


Link to post
Share on other sites

и че это значит? Через порт Winbox перенаправление трафа будет идти?

Share this post


Link to post
Share on other sites
1 minute ago, zhenya` said:

да, получается микротик используют как хттп прокси.

и это по порту именно winbox? А если не стандартный порт смотрит "на улицу"? А если на данный порт portknocking настроен? 

Я просто тогда не понимаю, а что мешает использовать любой другой порт на микротике, у которого белый адрес?

Share this post


Link to post
Share on other sites

Просто не надо открывать порты на белом адресе. Если у вас есть некий удаленный микротик, то можно с него поднять L2TP туннель в центр и заходить уже по серым адресам, доступ извне тогда оказывается заблокирован и никаких проблем со взломом никогда не возникает.

Share this post


Link to post
Share on other sites
1 minute ago, Saab95 said:

поднять L2TP туннель в центр

это всё понятно. А в центре стоит микротик... что с ним делать? :-)

У меня такая же картина сейчас. Есть 3 МТ с белыми адресами (админю 3 организации). Между ними построены ipip-туннели, поднят OSPF (для удобства администрирования, т.к. неизвестно за каким именно МТ я буду именно сейчас находится.) Но, winbox открыт "на улицу" и жестких ограничений по доступу из известных подсететй нет (никогда не знаешь откуда придется с ноута логинится для проверки того или иного сбоя) 

Закрылся portknocking-ом...

Share this post


Link to post
Share on other sites

Что мешает дома поставить микротик с белым адресом, или арендовать место в ДЦ - к нему и подключаться, а уже оттуда на все микротики.

Другой вариант на имеющихся настроить учетную запись PPTP для подключения администратора, а с внешки винбокс закрыть - хотите подключиться, устанавливаете впн соединение и дальше по серым адресам работаете. Все равно же в локалку за микротиком как-то попадать надо.

Share this post


Link to post
Share on other sites

@Saab95 это всё понятно, я с Вами солидарен. Можно кучу схем секурности разработать.

Я по существу проблемы: т.е. впринцепе нельзя именно 8192 открывать? или вообще что либо открывать?

Вы пишите PPtP... ну это же как минимум 1723 нужно открыть "на улицу" (в данном случае лучше уж L2TP, про PPtP думаю известно многим)

Share this post


Link to post
Share on other sites

Там написано что порт винбокса могут использовать для уязвимости, не важно какой его номер. Что бы заблокировать достаточно в ip-services сделать ограничения, или закрыть файрволом. Ограничения по IP у админов не помогают.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this