Τα Kaspersky Labs εντόπισαν ένα πολύ εξελειγμένο malware -πιθανόν state sponsored- με την κωδική ονομασία Slingshot, το οποίο επιτίθεται μέσω πολλαπλών επιπέδων, στοχεύοντας σε δίκτυα με MikroTik routers και το management software τους, για να διεισδύσει στους υπολογιστές στόχους του.



It first replaces a library file with a malicious version that downloads other malicious components, and then launches a clever two-pronged attack on the computers themselves. One, Canhadr, runs low-level kernel code that effectively gives the intruder free rein, including deep access to storage and memory; the other, GollumApp, focuses on the user level and includes code to coordinate efforts, manage the file system and keep the malware alive.


Σύμφωνα με τους αναλυτές, το Slingshot είναι ενεργό από το 2012 και μπορεί να υποκλέψει τα πάντα από το θύμα του.

Η πρόσφατη αναβάθμιση για τα MikroTik routers πρέπει να τα ασφαλίζει από το Slingshot, σύμφωνα με τις εκτιμήσεις.

Πηγή : Egadget (https://www.engadget.com/2018/03/11/sophisticated-malware-attacks-through-routers/?sr_source=Twitter)

Οσοι ειναι πριν το (RouterOS v6.38.5) κινδυνευουν. Απο το μαρτιο του 2017 και μετα οσοι εχουν αναβαθμιστει δεν εχουν προβλημα.

Οσοι ειναι πριν το (RouterOS v6.38.5) κινδυνευουν. Απο το μαρτιο του 2017 και μετα οσοι εχουν αναβαθμιστει δεν εχουν προβλημα.

Υπάρχουν διάφορες ευπάθειες που έκλεισαν στο 6.38.5 (πχ flood DOS), αλλά δεν νομίζω ότι το Slingshot έχει να κάνει με αυτές. Από όσα έχω προλάβει να δω μέχρι τώρα, το Slingshot είναι χωριστό malware που κατά βάση επηρεάζει το σύστημα (PC με Windows) από το οποίο κάποιος τρέχει Winbox για τη διαχείριση των Mikrotik, και δεν είναι ακόμη εντελώς σαφές πώς έχουν προσβληθεί οι ρούτερ, για να έχουν "κακό" Winbox. Μεταξύ των πραγμάτων που ανέφερε η ΜΤ, είδα και να μιλάει για απαίτηση κλειστού firewall, εκτός ότι η ευπάθεια επηρεάζει γενικά "παλιές εκδόσεις" του ROS.
Όπως και να έχει, μάθαμε για άλλη μια πολύ σημαντική τρύπα ασφαλείας που κυκλοφορεί εκεί έξω... Οι τελευταίοι μήνες ήταν πολύ παραγωγικοί :).

Αυτό που καταλαβαίνω εγώ είναι ότι μολύνεται το winbox και μετά επηρεάζει το ROS.
Όχι ότι είναι κάποια τρύπα στο ROS που κάποιος από έξω μπορεί να εκμεταλλευτεί για να κάνει τα περαιτέρω.

γιατι ακριβως μονο τα mikrotik?

Αυτό που καταλαβαίνω εγώ είναι ότι μολύνεται το winbox και μετά επηρεάζει το ROS.
Όχι ότι είναι κάποια τρύπα στο ROS που κάποιος από έξω μπορεί να εκμεταλλευτεί για να κάνει τα περαιτέρω.

γιατι ακριβως μονο τα mikrotik?

Πρώτα εκτίθεται ο ρούτερ και μετά ο υπολογιστής. Φορτώνει πάνω στο ρούτερ το payload σε μορφή DLL, το οποίο εγκαθίσταται στους υπολογιστές όταν τρέξουν Winbox και συνδεθούν με το προσβεβλημένο ρούτερ.
Αυτό που δεν είναι ιδιαίτερα σαφές είναι το πρώτο βήμα. Είναι πολύ πιθανό να πρόκειται για περιπτώσεις ελλιπούς ασφάλειας, όπου το web interface είναι ανοιχτό στον έξω κόσμο χωρίς δικλείδες ασφαλείας, με αποτέλεσμα να πάρουν διαχειριστική πρόσβαση στο ρούτερ.
Οι στόχοι μέχρι τώρα φαίνεται να βρίσκονται κυρίως σε Αφρική και Μέση Ανατολή, όπου τα Mikrotik είναι αρκετά δημοφιλή.

Για περισσότερο διάβασμα:
https://www.darkreading.com/endpoint/slingshot-cyber-espionage-campaign-hacks-network-routers/d/d-id/1331229
https://www.wired.com/story/router-hacking-slingshot-spy-operation-compromised-more-than-100-targets/

https://forum.mikrotik.com/viewtopic.php?f=2&t=131748

δλδ το προβλημα ειναι οταν τρεχεις winbox μονο? και απο windows μονο? σωστα???
καταρχην συμφωνα με το επισημο forum αυτο εχει διορθωθει ενα χρονο πριν....γιατι γινεται θεμα τωρα ειναι αγνωστον!

Γι αυτο και εμεις επιλεγουμε σταθερα speedport ρουτερ. Δεν το ξέρει κανείς, δεν ασχολείτε κανεις μαζί του και θα ειμαστε για παντα ασφαλής :p

https://forum.mikrotik.com/viewtopic.php?f=2&t=131748

δλδ το προβλημα ειναι οταν τρεχεις winbox μονο? και απο windows μονο? σωστα???
καταρχην συμφωνα με το επισημο forum αυτο εχει διορθωθει ενα χρονο πριν....γιατι γινεται θεμα τωρα ειναι αγνωστον!

Γιατί τώρα ανακοίνωσε η Kaspersky το ιδιαίτερα εξελιγμένο malware που εγκαταστάθηκε σε υπολογιστές μετά την απόκτηση πρόσβασης στα Mikrotik. Αυτό ήταν είδηση από μόνο του, απλά το παλιό winbox τους έκανε λίγο πιο εύκολη τη δουλειά.

Γιατί τώρα ανακοίνωσε η Kaspersky το ιδιαίτερα εξελιγμένο malware που εγκαταστάθηκε σε υπολογιστές μετά την απόκτηση πρόσβασης στα Mikrotik. Αυτό ήταν είδηση από μόνο του, απλά το παλιό winbox τους έκανε λίγο πιο εύκολη τη δουλειά.

Καλημέρα, ναι αλλα τωρα εχει διορθωθεί!
εκτος αυτου όπως καταλαβαίνω εγω τουλάχιστον αφορα μονο winbox και μονο windows....κανω λαθος?

Καλημέρα, ναι αλλα τωρα εχει διορθωθεί!
εκτος αυτου όπως καταλαβαίνω εγω τουλάχιστον αφορα μονο winbox και μονο windows....κανω λαθος?

Αφού αναφέρεται σε dll κλπ μάλλον ναι.

Αφού αναφέρεται σε dll κλπ μάλλον ναι.

και επισης αν δεν εβγαζε καποιος το winbox στο ιντερνετ εννοω το mikrotik router του, προφανως δεν θα ειχε και πρόβλημα αλλωστε σωστα?
το θεμα είναι ότι πλεον εδώ και πολυυυ καιρο δεν τίθεται αυτό το θεμα, τωρα ξυπνησε η κασπερσκαι προφανως...

Το αρχικό vulnerability όπου επέτρεπε (μεταξύ άλλων) σε κάποιον να αντικαταστήσει ένα dll στον router μέσω του http server του Mikrotik έχει γίνει patch από τις 9 Μαρτίου 2017 (v6.38.5).
Εδώ και η επίσημη ανακοίνωση της Mikrotik στις 8 Μαρτίου 2017, μία μέρα πριν το patch.
https://forum.mikrotik.com/viewtopic.php?f=21&t=119308

Από εκεί και πέρα το exploit πέρναγε μόνο σε όσους χρησιμοποιούν Winbox 2.x το οποίο κατεβάζει τα DLLs από τον router για τα επιμέρους πακέτα που έχει ενεργοποιημένα (και κατ'επέκταση για να εμφανίσει το winbox τα σχετικά μενού του) και κάνει ότι είναι να κάνει σύμφωνα με το report της Kaspersky.

Όσοι χρησιμοποιούν Winbox 3 (το οποίο κυκλοφορεί πολύ περισσότερο από 1 χρόνο) δεν μπορεί να σου κάνει inject DLL αφού έχει αλλάξει η αρχιτεκτονική του και πλέον δεν κατεβάζει κανένα DLL από τον router.

Άρα όσοι χρησιμοποιούν Winbox3 έτσι και αλλιώς - ακόμα και με φαγωμένο/ανενημέρωτο router - δεν διατρέχουν κανένα κίνδυνο αφού δεν υφίσταται καν το attack vector που έχει το winbox2.
Όσοι χρησιμοποιούν Winbox2 και έχουν ανενημέρωτο τον router τους εδώ και 1 χρόνο (με 14 releases από τότε μέχρι σήμερα) τότε κακό του κεφαλιού τους.
Εξάλλου το Winbox2 είναι πλέον ημι-λειτουργικό αφού η Mikrotik έχει σταματήσει την υποστήριξη του εδώ και πολύ καιρό. Αν μπεις σήμερα σε φρέσκο router με winbox2 δεν δουλεύουν όλα τα πράγματα σωστά.
Άρα όποιος έχει αναβαθμίσει τον router του, εκ των πραγμάτων έχει υποχρεωθεί να χρησιμοποιήσει Winbox3.

Από εκεί και πέρα, ακόμα και να μην αναβαθμίσει κάποιος τον router και το winbox, αν έχει στήσει σωστά τον router (ie: proper firewall που να κόβει το port 80 στο input chain) τότε δεν μπορεί κάποιος απέξω να κάνει inject το DLL στον router και από εκεί να μολυνθεί ο admin του.

Με άλλα λόγια δεν διαφέρει και πολύ από το να αφήσεις ένα windows XP χωρίς SP χωρίς firewall χύμα στο internet. Αργά ή γρήγορα θα στο φάνε :P

Προσωπικά βρίσκω την όλη είδηση ανούσια. Είναι σαν να βγει κάποιος σήμερα και να λέει τι μπορείς να κάνεις με το MS.Blaster και πόσο επικίνδυνο worm είναι.
Ναι είναι... ΑΝ δεν έχεις περάσει patches στα windows εδώ και 15 χρόνια :lol: :lol:

Ναι είναι... ΑΝ δεν έχεις περάσει patches στα windows εδώ και 15 χρόνια :lol: :lol:

Και όμως υπάρχουν και είναι πολλοί, όποτε καλό είναι να υπάρχουν τέτοιες ειδήσεις, κάποιοι που μπορεί να έχουν θέμα θα τις διαβάσουν και ίσως να κάνουν κάτι.
Θα έχουμε και λίγο τζερτζελε :p

Αν ο άλλος δεν περνάει updates εδώ και ένα χρόνο (για να μην σχολιάσω το paper της Kaspersky που μιλάει για infections σε routers με v5.20 - δηλαδή δεν έχουν αναβαθμίσει εδώ και 6 χρόνια!) δεν θα τον ξε-κουνήσει μία είδηση.

Άσε που είμαι σχεδόν σίγουρος πως αυτά τα 5.20 installations είναι τα στάνταρ κινέζικα backdoored που κυκλοφορούν στα torrentάδικα.
Άρα και να θέλανε δεν θα μπορούσαν να αναβαθμίσουν (οκ, μπορούν να πάνε μέχρι την 5.26 αλλά δεν λύνει κάτι αυτό).
Αν ο άλλος είναι τόσο τζαμπατζής που για να γλυτώσει 40$ βάζει backdoored λειτουργικό στον router του (και μάλιστα ΧΩΡΙΣ σωστό firewall), νομίζω του αξίζει να τον φάνε :p

Το αρχικό vulnerability όπου επέτρεπε (μεταξύ άλλων) σε κάποιον να αντικαταστήσει ένα dll στον router μέσω του http server του Mikrotik έχει γίνει patch από τις 9 Μαρτίου 2017 (v6.38.5).
Εδώ και η επίσημη ανακοίνωση της Mikrotik στις 8 Μαρτίου 2017, μία μέρα πριν το patch.
https://forum.mikrotik.com/viewtopic.php?f=21&t=119308

Από εκεί και πέρα το exploit πέρναγε μόνο σε όσους χρησιμοποιούν Winbox 2.x το οποίο κατεβάζει τα DLLs από τον router για τα επιμέρους πακέτα που έχει ενεργοποιημένα (και κατ'επέκταση για να εμφανίσει το winbox τα σχετικά μενού του) και κάνει ότι είναι να κάνει σύμφωνα με το report της Kaspersky.

Όσοι χρησιμοποιούν Winbox 3 (το οποίο κυκλοφορεί πολύ περισσότερο από 1 χρόνο) δεν μπορεί να σου κάνει inject DLL αφού έχει αλλάξει η αρχιτεκτονική του και πλέον δεν κατεβάζει κανένα DLL από τον router.

Άρα όσοι χρησιμοποιούν Winbox3 έτσι και αλλιώς - ακόμα και με φαγωμένο/ανενημέρωτο router - δεν διατρέχουν κανένα κίνδυνο αφού δεν υφίσταται καν το attack vector που έχει το winbox2.
Όσοι χρησιμοποιούν Winbox2 και έχουν ανενημέρωτο τον router τους εδώ και 1 χρόνο (με 14 releases από τότε μέχρι σήμερα) τότε κακό του κεφαλιού τους.
Εξάλλου το Winbox2 είναι πλέον ημι-λειτουργικό αφού η Mikrotik έχει σταματήσει την υποστήριξη του εδώ και πολύ καιρό. Αν μπεις σήμερα σε φρέσκο router με winbox2 δεν δουλεύουν όλα τα πράγματα σωστά.
Άρα όποιος έχει αναβαθμίσει τον router του, εκ των πραγμάτων έχει υποχρεωθεί να χρησιμοποιήσει Winbox3.

Από εκεί και πέρα, ακόμα και να μην αναβαθμίσει κάποιος τον router και το winbox, αν έχει στήσει σωστά τον router (ie: proper firewall που να κόβει το port 80 στο input chain) τότε δεν μπορεί κάποιος απέξω να κάνει inject το DLL στον router και από εκεί να μολυνθεί ο admin του.

Με άλλα λόγια δεν διαφέρει και πολύ από το να αφήσεις ένα windows XP χωρίς SP χωρίς firewall χύμα στο internet. Αργά ή γρήγορα θα στο φάνε :P

Προσωπικά βρίσκω την όλη είδηση ανούσια. Είναι σαν να βγει κάποιος σήμερα και να λέει τι μπορείς να κάνεις με το MS.Blaster και πόσο επικίνδυνο worm είναι.
Ναι είναι... ΑΝ δεν έχεις περάσει patches στα windows εδώ και 15 χρόνια :lol: :lol:

Αν θυμάμαι καλά από μια έκδοση ros και μετά απαιτούσε να τρέχεις winbox 3.
Οπότε η όλη ιστορία για μόλυνση περιορίζεται στην χρήση winbox 3 με ros μικρότερο από v6.38.5 και μεγαλύτερο από την έκδοση που δεν θυμάμαι :p

Μαλλον θελει η kaspersky να πουλησει κανα antivirus....:lol::p

Αν θυμάμαι καλά από μια έκδοση ros και μετά απαιτούσε να τρέχεις winbox 3.
Οπότε η όλη ιστορία για μόλυνση περιορίζεται στην χρήση winbox 3 με ros μικρότερο από v6.38.5 και μεγαλύτερο από την έκδοση που δεν θυμάμαι :p

Έτσι έγραφε στο changelog αλλά δεν ίσχυε. Μέχρι σχετικά πρόσφατα μπορούσα να συνδεθώ κανονικά με winbox2 και δούλευε κανονικά και ας έγραφε ότι το Χ release ήθελε winbox 3.X για να παίξει.
Έχω γυρίσει σε winbox3 πλέον - δεν έχω δοκιμάσει τουλάχιστον για 6 μήνες το Winbox 2 σε νέες εκδόσεις να δω τι κάνει.

Δεν είναι ότι σταμάτησε εντελώς να λειτουργεί το winbox2, είναι ότι το παράτησαν και από ένα σημείο και μετά γίνανε break διάφορα πράγματα και δεν δούλευε σωστά με νέες εκδόσεις ROS οπότε σε υποχρέωνε θες δεν θες (και δεν ήθελα λόγω συγκεκριμένου workflow και πολλαπλών monitors) να πας σε winbox3.

Από εκεί και πέρα, είναι αδύνατον να λειτουργήσει το συγκεκριμένο exploit με winbox3 αφού όπως αναφέρει η Mikrotik ΔΕΝ κατεβάζει πλέον DLLs από τον router.
Γιαυτό και το Winbox 3 είναι 1.5MB από εκεί που το Winbox2 ήταν 112KB.
Άρα μόνο όσοι χρησιμοποιούν RouterOS <= v6.38.4 και Winbox 2 είναι ευάλωτοι - και πάλι μόνο αν το port 80 του router είναι χύμα προσβάσιμο από το internet.

Όσοι χρησιμοποιούν Routerboards τότε αν δεν έχουν σκαλίσει το firewall, από default έρχεται με κομμένο το port 80 στο wan port, άρα και κάποιος να μην έχει αναβαθμίσει (κακώς, κάκιστος) δεν είναι εύκολα ευάλωτος.

Chaos το port 80 ή το port του winbox 8291 ?
επισης και αμα το winbox δεν ετρεχε πανω απο windows? μονο σε windows ισχυε αυτο το θεμα?

- - - Updated - - -

Να υπενθυμισω πχ οτι τρεχει κανονικοτατα μια χαρα τελεια σε linux μεσω wine....

Έτσι έγραφε στο changelog αλλά δεν ίσχυε. Μέχρι σχετικά πρόσφατα μπορούσα να συνδεθώ κανονικά με winbox2 και δούλευε κανονικά και ας έγραφε ότι το Χ release ήθελε winbox 3.X για να παίξει.
Έχω γυρίσει σε winbox3 πλέον - δεν έχω δοκιμάσει τουλάχιστον για 6 μήνες το Winbox 2 σε νέες εκδόσεις να δω τι κάνει.

Δεν είναι ότι σταμάτησε εντελώς να λειτουργεί το winbox2, είναι ότι το παράτησαν και από ένα σημείο και μετά γίνανε break διάφορα πράγματα και δεν δούλευε σωστά με νέες εκδόσεις ROS οπότε σε υποχρέωνε θες δεν θες (και δεν ήθελα λόγω συγκεκριμένου workflow και πολλαπλών monitors) να πας σε winbox3.

Από εκεί και πέρα, είναι αδύνατον να λειτουργήσει το συγκεκριμένο exploit με winbox3 αφού όπως αναφέρει η Mikrotik ΔΕΝ κατεβάζει πλέον DLLs από τον router.
Γιαυτό και το Winbox 3 είναι 1.5MB από εκεί που το Winbox2 ήταν 112KB.
Άρα μόνο όσοι χρησιμοποιούν RouterOS <= v6.38.4 και Winbox 2 είναι ευάλωτοι - και πάλι μόνο αν το port 80 του router είναι χύμα προσβάσιμο από το internet.

Όσοι χρησιμοποιούν Routerboards τότε αν δεν έχουν σκαλίσει το firewall, από default έρχεται με κομμένο το port 80 στο wan port, άρα και κάποιος να μην έχει αναβαθμίσει (κακώς, κάκιστος) δεν είναι εύκολα ευάλωτος.

Αν θυμάμαι καλά δεν έλεγε ότι δεν μπορεί να παίξει το winbox 2 από μια έκδοση ros και πάνω.
Απλά ότι είχε θέματα στην λειτουργία.

καλημέρα!
και εδώ η ειδηση καπως διαφορετικη https://secnews.gr/163886/κρυμμένο-malware-slingshot-router/
τον ερευνητή της kasper περιμενε η Mikrotik! https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 :lol:
και όπως είναι λογικο φυσικα αφορουσε μονο windows.
Προφανως εκει στην μεση Ανατολη εχουν μεινει και σε παλια windows αλλα και σε παλιες εκδοσεις του ROS.
Και φυσικα θα επρεπε να το ειχαν και χυμα στο ιντερνετ πχ την port 80, 8291 (winbox port) κτλ.

καλημέρα!
και εδώ η ειδηση καπως διαφορετικη https://secnews.gr/163886/κρυμμένο-malware-slingshot-router/
τον ερευνητή της kasper περιμενε η Mikrotik! https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 :lol:
και όπως είναι λογικο φυσικα αφορουσε μονο windows.
Προφανως εκει στην μεση Ανατολη εχουν μεινει και σε παλια windows αλλα και σε παλιες εκδοσεις του ROS.
Και φυσικα θα επρεπε να το ειχαν και χυμα στο ιντερνετ πχ την port 80, 8291 (winbox port) κτλ.

Αφού σου λέει πως μολύνει το routeros και μετά κατεβάζει και το μολυσμένο dll σε winbox, απο όσο είδα winbox έχει μόνο για windows όποτε μόνο σε windows θα το μολύνει.
Στο κομμάτι της μόλυνσης του routeros δεν έχει να κάνει με κάποιο λειτουργικό

Αφού σου λέει πως μολύνει το routeros και μετά κατεβάζει και το μολυσμένο dll σε winbox, απο όσο είδα winbox έχει μόνο για windows όποτε μόνο σε windows θα το μολύνει.
Στο κομμάτι της μόλυνσης του routeros δεν έχει να κάνει με κάποιο λειτουργικό

Καλησπέρα, ναι όπως εχω ξαναγραψει όμως το winbox.exe παιζει μια χαρα τελεια σε κάθε διανομη linux μεσω wine.
Oποτε εκει δεν ισχυει αυτή η μολυνση? εφόσον βεβαια εχουμε απαρχαιωμενη εκδοση ROS και Winbox βεβαίως?
Η ερωτηση μου δεν εχει απαντηθεί ακομα. Λογικα δεν το πιανει.

Καλησπέρα, ναι όπως εχω ξαναγραψει όμως το winbox.exe παιζει μια χαρα τελεια σε κάθε διανομη linux μεσω wine.
Oποτε εκει δεν ισχυει αυτή η μολυνση? εφόσον βεβαια εχουμε απαρχαιωμενη εκδοση ROS και Winbox βεβαίως?

Το winbox είναι εφαρμογή windows, δεν είναι native εφαρμογή ούτε Linux, ούτε mac, το ότι μπορεί να τρέξει μια εφαρμογή windows σε Linux μέσω του wine δεν την κάνει εφαρμογή Linux.
Θα την μολύνει και αυτή την εφαρμογή που τρέχει μέσω wine

Στην ουσία θα μολύνει τα dll του wine.
Δεν θα περάσει στο λειτουργικό.

Στην ουσία θα μολύνει τα dll του wine.
Δεν θα περάσει στο λειτουργικό.

Αυτο σκέφτηκα και εγώ. Απλά για την ιστορία, τώρα δεν τίθεται θέμα έτσι κι αλλιώς.

- - - Updated - - -

https://forum.mikrotik.com/viewtopic.php?f=2&t=131748