Přidat aktualitu mezi oblíbenéZasílat nové komentáře e-mailem Opat masivne utoky na Mikrotik routre

Tento rok sa Mikrotiku dari, respektive vstupil asi do extraligy, pretoze lata jednu dieru za druhou.
O tejto konkretnej diere sa vie uz pomerne dlho, ide o zranitelnost ROS cez Winbox sluzbu a bola oficialne oznamena v aprili tohoto roku na Mikrotik fore. Nicmenej az v poslednych dnoch doslo k masivnym utokom na routre po tom, co sa zranistelnost dostala do ruk kinderhackerom.
Hack sa prejavi tak, ze utocnik si dokaze stiahnut vase prihlasovacie udaje, naloguje sa a nasledne vam zmeni a dalej uz nie je mozne sa dostat do ROS. Zranitelne su skoro vsetky 6.x verzie ROS, osobne odporucam momentalne nasadzovat vzdy posledne RC verzie a necakat ani na ostre. Kto si pozrie aka vysoka RC verzia ROS je momentalne posledna pochopi...RC kandidatti su vydavany takmer dennodenne.
Bohuzial maslo na hlave ma samotny Mikrotik, pretoze uzivatelske profily spolu s heslami boli ulozene v ROS pomerne vagne a o tomto sa vedelo uz dlho len sa zda, ze samotni tvorcovia sa spoliehali na robustnost a odolnost svojho systemu. V novej verzii ROS ma dojst k vyraznemu zvyseniu bezpecnosti silnym sifrovanim uzivatelskych dat v ROS.
Na obranu Mikrotiku musim dodat, ze ROS nie je zranitelny z internetu pokial si nechavate defaultne nastavenie firewallu, kde na na INPUTe vsetko zakazane.
Takze ak ma niekto na MT verejnu IP, nema posledne verzie ROS a upravoval si pravidla na fw (min povoloval Winbox zvonku) bol na 90% hacknuty (moja vcerajsia statistika bola, ze 9 z 10 strojov bolo hacknutych).
Ako sa branit?
Bohuzial uz aj MT treba aktivne branit, cize idealne je mat defaultne zakazany INPUT, pristup cez web vypnut, ponechat len ssh a winbox, pristup povolit len z privatnych IP rozsahov alebo ich VPN/VLAN ekvivalentov.
P.S. Kto si nie je isty, ci je jeho MT zranitelny, moze mi napisat cez PM a ja preverim, ci je mozne jeho MT hacknut z netu.
P.P.S. Mozno budete mat stastie ako ja, na jednom stroji ma hackol nejaky dobrak, ktory len zanechal odkaz a pridal pravidla na firewalle (zablokoval vsetky dolezite porty zvonku), na dalsom zase nepozorny kinderhacker zabudol zmenit heslo na jednom uzivatelskom konte a nasledne som sa cez neho nalogoval a hoci bol prave online prihlaseny doslo k odobratiu pristupu prenho v priamom prenose;o).
Alebo smolu...doma som mal 2 dni novu branu, navyse s novou verejnou IP (predtym bola len na privatnej), co som si neuvedomil a dnes som stravil asi 30 min jej resetovanim a opatovnym nastavovanim (nemal som ani zalohu spravenu este).

Zdroj: Vlastne skusenosti
Předmět Autor Datum
no jo, to je daň za to, že tak rychle vyrostli. Je to bohužel škoda, že mají takové problémy, tak to…
touchwood 05.09.2018 21:17
touchwood
UBNT ako priama konkurencia mal uz 2 bezpecnostne prusery za posledne roky, takze MT stav dorovnal (…
fleg 05.09.2018 21:46
fleg
to jsou všechno malí hráči. Ale chyby v takovém Ciscu, to je jiná liga. :-) edit: MTK je ale v pomě…
touchwood 06.09.2018 05:53
touchwood
jsem už před delší dobou omezil přístupy na určené IP adresy. Je to opruz, ale furt lepší opruz, než…
Jan Fiala 06.09.2018 06:52
Jan Fiala
JaFi ja som videl hacknut win masinu do 2 min od pripojenia na net (mala verejnu IP) a to bolo pred…
fleg 06.09.2018 07:49
fleg
sasser byl jiný případ. zamořený pc byl prakticky neovladatelný, protože posílal do sítě desítky vlá…
lední brtník 06.09.2018 22:29
lední brtník
Ja jsem uz vsechny mozne pristupy do domaci site zvenku zakazal a resim to pres VPN, na ktere jsem s…
MaSíčko 07.09.2018 08:57
MaSíčko
Dneska vyšla verze 6.43, tak koukej upgradovat. :-p
Kurt 10.09.2018 15:47
Kurt
Nie je tam nic nove pra mna, vsetky verejne sajty uz som si otestoval a navyse som uz pristupi k res…
fleg 11.09.2018 10:11
fleg
Na PoE beru 3com alias HP alias Aruba. Není nic lepšího-levnějšího. Sice mění názvy firmy jako ponož…
touchwood 15.09.2018 17:41
touchwood
Do firiem a do skol davam uz rok RB3011 co je vzhladom na cenu ovela vhodnejsi stroj. Dokonca ho uz… poslední
fleg-sk 16.09.2018 10:38
fleg-sk

no jo, to je daň za to, že tak rychle vyrostli. Je to bohužel škoda, že mají takové problémy, tak to snad brzy fixnou. U všech MKT co mám dostupné z inetu jsem už před delší dobou omezil přístupy na určené IP adresy. Je to opruz, ale furt lepší opruz, než nějaký security průser.

UBNT ako priama konkurencia mal uz 2 bezpecnostne prusery za posledne roky, takze MT stav dorovnal (minule to bola diera vo www).
To, ze maju problemy ma az tak nestve, skor fakt, ze zalepia jednu dieru a zjavi sa druha. Napriklad u zakaznika som musel reportovat nahodne restarty ROS, vedeli o tom a trvaliim to asi tyzden-dva kym to fixli v dalsej verzii...dovtedy som skusal vselijake harakiri odporucane ich supportom a nic...citil som sa ako debil a to zrovna v case, ked prisla konkurencia a chceli MT vytlacit Fortigatmi.
A s tymi opruzmi...ja som taky lazy admin, pristupujem z hocikade, z hocijakych devices, a preto ma tieto obmedzenia dost obmedzuju, uz nestiham patchovat a zacinam prechadzat na odproucane nastavenia...zakaz inputu, povolenie len doveryhodnych sieti a IP, VPNky..atd....co uz.
Ukaz mi lepsiu alternativu, za dobry peniaz, s moznostami konfiguracie...proste nie je.
Teraz idem robit u zakaznika 10Gb LACP spoje, asi 20 UBNT switchov s 28 wifinami, vsetko UNIFI a sam som zvedavy ako sa bude UBNT pri takejto sieti spravat. MT by som asi veril viac.

jsem už před delší dobou omezil přístupy na určené IP adresy. Je to opruz, ale furt lepší opruz, než nějaký security průser.

Tohle není opruz, ale nutnost.Když jsem sledoval ten provoz na portech, kdy boti zkoušeli jeden port za druhým... To nejen nějací hackeři z Ukrajiny, Ruska, Číny a jiného dálného východu, ale byly to interní adresy Amazonu, Google, Seznamu apod.
A neplatí to jen pro Mikrotik, ale pro routery obecně, na které chcete přistupovat zvenku.
Pokud máte pevnou veřejnou adresu a chcete mít síť zabezpečenou, je třeba co nejvíc omezit zařízení, která tam mohou zvenku přistupovat.

JaFi ja som videl hacknut win masinu do 2 min od pripojenia na net (mala verejnu IP) a to bolo pred cca 15 rokmi (Sasser)...a kde bol vtedy internet (este v plienkach pomaly). Mikrotik bezne po nasadeni je do par minut zaplaveny cervenymi logmi s pokusmi o ssh prihlasenie dnes, pretoze na nete su miliony strojov, ktore len skenuju a skusaju sa naburat do vsetkeho co vidia.
Lenze prave z dovodu, ze MT za celu svoju historiu nemal zavaznejsi bezpecnostny incident som si zvykol (a nielen ja) na pohodlne spravovanie, takze utocnikov som nechal robit brute-force (ved mam silne heslo) a spoliehal sa na robustnost ROS.
To sa uz neda dnes bohuzial.

sasser byl jiný případ. zamořený pc byl prakticky neovladatelný, protože posílal do sítě desítky vláken. extrémně rychle se tak šířil, ale zase okamžitě prozrazoval napadený pc.
(a v té lokální síti pak stačily desítky vteřin k napadení)

jestli se nepletu, mám venkovní přístup zakázán. ale vždycky šíleně hledám co kde je, bez google/wiki vlastně nejde nic najít.
zkontrolováno: přihlásím se. ale pohledám update.

Ja jsem uz vsechny mozne pristupy do domaci site zvenku zakazal a resim to pres VPN, na ktere jsem si vyhradil jedno RPI. Na kazdem zarizeni mam klienta, muzu odkudkoliv pracovat jako bych byl doma.

Navod pro nooby jako jsem ja:
https://pimylifeup.com/raspberry-pi-vpn-server/

PS. Mozna by to stalo za clanek v cestine zde na poradne...:-P

Nie je tam nic nove pra mna, vsetky verejne sajty uz som si otestoval a navyse som uz pristupi k restrikciam na urovni fw (logovacie sluzby povolene len zo znamych rozsahov). Cakam kedy oficialne zvysia uroven kryptovania hesiel v OS, zatial to len naznacuju, ze sa nieco udialo, takze trosku mlzia.
Navyse ma zase nasrali...vsimol si si novy RB 4011? Nechapem pre aky segment ma byt taketo zariadenie urcene...na doma zbytocne drahe a predimenzovane a do firmy zase zbytocne neprakticke (desktopove prevedenie, tycove anteny).
Kua uz rok im pisem, ze chcem 24p poe switch, ledva vyprodokovali teraz 8p, ktory navyse v defaulte dodavaju so slabym zdrojom, ktory zvlada len pasivne poe...asi je na case vymenit tam ten managment.

Na PoE beru 3com alias HP alias Aruba. Není nic lepšího-levnějšího. Sice mění názvy firmy jako ponožky, ale jinak spokojenost.

edit jinak RB4011 je IMHO nástupce RB2011 a budeš se divit, znám pár lidí co ji mají.

Zpět na aktuality Přidat komentář k aktualitě Nahoru