Αν θυμάμαι καλά από μια έκδοση ros και μετά απαιτούσε να τρέχεις winbox 3.Το αρχικό vulnerability όπου επέτρεπε (μεταξύ άλλων) σε κάποιον να αντικαταστήσει ένα dll στον router μέσω του http server του Mikrotik έχει γίνει patch από τις 9 Μαρτίου 2017 (v6.38.5).
Εδώ και η επίσημη ανακοίνωση της Mikrotik στις 8 Μαρτίου 2017, μία μέρα πριν το patch.
https://forum.mikrotik.com/viewtopic.php?f=21&t=119308
Από εκεί και πέρα το exploit πέρναγε μόνο σε όσους χρησιμοποιούν Winbox 2.x το οποίο κατεβάζει τα DLLs από τον router για τα επιμέρους πακέτα που έχει ενεργοποιημένα (και κατ'επέκταση για να εμφανίσει το winbox τα σχετικά μενού του) και κάνει ότι είναι να κάνει σύμφωνα με το report της Kaspersky.
Όσοι χρησιμοποιούν Winbox 3 (το οποίο κυκλοφορεί πολύ περισσότερο από 1 χρόνο) δεν μπορεί να σου κάνει inject DLL αφού έχει αλλάξει η αρχιτεκτονική του και πλέον δεν κατεβάζει κανένα DLL από τον router.
Άρα όσοι χρησιμοποιούν Winbox3 έτσι και αλλιώς - ακόμα και με φαγωμένο/ανενημέρωτο router - δεν διατρέχουν κανένα κίνδυνο αφού δεν υφίσταται καν το attack vector που έχει το winbox2.
Όσοι χρησιμοποιούν Winbox2 και έχουν ανενημέρωτο τον router τους εδώ και 1 χρόνο (με 14 releases από τότε μέχρι σήμερα) τότε κακό του κεφαλιού τους.
Εξάλλου το Winbox2 είναι πλέον ημι-λειτουργικό αφού η Mikrotik έχει σταματήσει την υποστήριξη του εδώ και πολύ καιρό. Αν μπεις σήμερα σε φρέσκο router με winbox2 δεν δουλεύουν όλα τα πράγματα σωστά.
Άρα όποιος έχει αναβαθμίσει τον router του, εκ των πραγμάτων έχει υποχρεωθεί να χρησιμοποιήσει Winbox3.
Από εκεί και πέρα, ακόμα και να μην αναβαθμίσει κάποιος τον router και το winbox, αν έχει στήσει σωστά τον router (ie: proper firewall που να κόβει το port 80 στο input chain) τότε δεν μπορεί κάποιος απέξω να κάνει inject το DLL στον router και από εκεί να μολυνθεί ο admin του.
Με άλλα λόγια δεν διαφέρει και πολύ από το να αφήσεις ένα windows XP χωρίς SP χωρίς firewall χύμα στο internet. Αργά ή γρήγορα θα στο φάνε :P
Προσωπικά βρίσκω την όλη είδηση ανούσια. Είναι σαν να βγει κάποιος σήμερα και να λέει τι μπορείς να κάνεις με το MS.Blaster και πόσο επικίνδυνο worm είναι.
Ναι είναι... ΑΝ δεν έχεις περάσει patches στα windows εδώ και 15 χρόνια
Οπότε η όλη ιστορία για μόλυνση περιορίζεται στην χρήση winbox 3 με ros μικρότερο από v6.38.5 και μεγαλύτερο από την έκδοση που δεν θυμάμαι
Εμφάνιση 16-26 από 26
-
13-03-18, 18:12 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #16
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
13-03-18, 19:18 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #17
Μαλλον θελει η kaspersky να πουλησει κανα antivirus....
-
13-03-18, 20:04 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #18
Έτσι έγραφε στο changelog αλλά δεν ίσχυε. Μέχρι σχετικά πρόσφατα μπορούσα να συνδεθώ κανονικά με winbox2 και δούλευε κανονικά και ας έγραφε ότι το Χ release ήθελε winbox 3.X για να παίξει.
Έχω γυρίσει σε winbox3 πλέον - δεν έχω δοκιμάσει τουλάχιστον για 6 μήνες το Winbox 2 σε νέες εκδόσεις να δω τι κάνει.
Δεν είναι ότι σταμάτησε εντελώς να λειτουργεί το winbox2, είναι ότι το παράτησαν και από ένα σημείο και μετά γίνανε break διάφορα πράγματα και δεν δούλευε σωστά με νέες εκδόσεις ROS οπότε σε υποχρέωνε θες δεν θες (και δεν ήθελα λόγω συγκεκριμένου workflow και πολλαπλών monitors) να πας σε winbox3.
Από εκεί και πέρα, είναι αδύνατον να λειτουργήσει το συγκεκριμένο exploit με winbox3 αφού όπως αναφέρει η Mikrotik ΔΕΝ κατεβάζει πλέον DLLs από τον router.
Γιαυτό και το Winbox 3 είναι 1.5MB από εκεί που το Winbox2 ήταν 112KB.
Άρα μόνο όσοι χρησιμοποιούν RouterOS <= v6.38.4 και Winbox 2 είναι ευάλωτοι - και πάλι μόνο αν το port 80 του router είναι χύμα προσβάσιμο από το internet.
Όσοι χρησιμοποιούν Routerboards τότε αν δεν έχουν σκαλίσει το firewall, από default έρχεται με κομμένο το port 80 στο wan port, άρα και κάποιος να μην έχει αναβαθμίσει (κακώς, κάκιστος) δεν είναι εύκολα ευάλωτος.
-
13-03-18, 21:58 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #19
Chaos το port 80 ή το port του winbox 8291 ?
επισης και αμα το winbox δεν ετρεχε πανω απο windows? μονο σε windows ισχυε αυτο το θεμα?
- - - Updated - - -
Να υπενθυμισω πχ οτι τρεχει κανονικοτατα μια χαρα τελεια σε linux μεσω wine....
-
13-03-18, 22:39 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #20
-
14-03-18, 07:15 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #21
καλημέρα!
και εδώ η ειδηση καπως διαφορετικη https://secnews.gr/163886/κρυμμένο-m...ngshot-router/
τον ερευνητή της kasper περιμενε η Mikrotik! https://forum.mikrotik.com/viewtopic.php?f=21&t=119308
και όπως είναι λογικο φυσικα αφορουσε μονο windows.
Προφανως εκει στην μεση Ανατολη εχουν μεινει και σε παλια windows αλλα και σε παλιες εκδοσεις του ROS.
Και φυσικα θα επρεπε να το ειχαν και χυμα στο ιντερνετ πχ την port 80, 8291 (winbox port) κτλ.Τελευταία επεξεργασία από το μέλος Nikiforos : 14-03-18 στις 07:39.
-
14-03-18, 12:37 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #22
-
14-03-18, 14:24 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #23
-
14-03-18, 14:29 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #24
-
14-03-18, 14:40 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #25
Στην ουσία θα μολύνει τα dll του wine.
Δεν θα περάσει στο λειτουργικό.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
14-03-18, 18:05 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #26
Αυτο σκέφτηκα και εγώ. Απλά για την ιστορία, τώρα δεν τίθεται θέμα έτσι κι αλλιώς.
- - - Updated - - -
https://forum.mikrotik.com/viewtopic.php?f=2&t=131748
Παρόμοια Θέματα
-
Ποιος είναι ο καλύτερος ADSL router για να αγοράσω ?
Από cmos στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 5579Τελευταίο Μήνυμα: 20-09-20, 11:26 -
[Other] αλλαγη router για να μην εχω αποσυνδεσεις;
Από mattbarlow στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 8Τελευταίο Μήνυμα: 17-12-17, 23:21 -
Μ. Τσαμάζ: «Αρνούμαι να δώσω τα κλειδιά του ΟΤΕ στην ΕΕΤΤ»
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 71Τελευταίο Μήνυμα: 03-12-17, 17:19 -
Ερευνητές εισάγουν malware σε τμήμα DNA για να παραβιάσουν τον υπολογιστή που το αναλύει
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 5Τελευταίο Μήνυμα: 13-08-17, 16:09 -
Οι διαδικτυακές αγορές ενώνουν τις δυνάμεις τους για να αποσυρθούν τα επικίνδυνα προϊόντα από την αγορά της ΕΕ
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 1Τελευταίο Μήνυμα: 19-03-17, 16:49
Bookmarks