VPNFilter атака над MikroTik

[111111]

Както сигурно сте прочели по новините VPNFilter атаката придобива права за управление на рутери от доста марки включае и на Микротик.

Изключително атакува ADMIN акаунта и прави невъзможно ползването на администрирането на рутера.
Кoйтo имa втoри aкayнт или всe oщe нямa дa си нaпрaви, чe тoвa e шaнс дa си възвърнe прaвaтa.

Атаката се осъществява по SSH в моя случай от ирландски адреси бяха се накачулили 5 наведнъж.

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

Сложността на админ паролата явно не е фактор.

[px1]

При мен в един от микротиците имах два акаунта но не помогна.

Бяха сменени всички пароли.

Помогна само качване на backup.

CCR го нулирах но Х86 ще го дам на колега да се бори с разбиването.

Интересно е че с юзернеймите от хакнатия CCR са са пробвали по telnet и в други мои устройства но без успех.

Явно сменят паролата но не могат да видят оригиналната.

Редактирано 9 Юни, 2018 от px1

[msboy]

Както винаги има и такива които са от тъмната страна на ИТ технологиите. Дано целта на е да компроментират продуктите на Микротик т.е. да ги пратят в графа "ненадеждни" и по такъв начин да сринат продажбите и фирмата. Защото с последните няколко месеца много станаха такива "дупки" в системата на Микротик. А какво ли ще стане с правителствените МИкротици ? или поне там където се ползват. Надявам се в най скоро време екипа на Микротик да изкара ъпдейт.

[WeAreFinite]

https://forum.mikrotik.com/viewtopic.php?p=663923

Къв админ, къв SSH, кви пет лева? :Д
Ти прочете ли двете статии които си постнал, в тях няма нищо споменато нито за АДМИН юзър акаунт, нито за SSH.

Това е откъс от първата статия която си постнал:
At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices. However, all of the affected makes/models that we have uncovered had well-known, public vulnerabilities.

Преведено:
Към момента на публикацията, нямаме доказателства как точно малуеъра екплоатира афектираните устройства. Но, всички засегнати устройства от Производител/Модел които сме открили са имали добре познати публични уязвимости.

В УРЛ-а който е към микротик форума пише, че рутерите на Микротик са уязвими поради http server уязвимостта която поправиха във версия 6.38.5, така че ъпгрейдвайте ако сте с по-стара версия.

Ако нещо бъркам, ще се радвам да бъда поправен.

Поздрави!

Редактирано 9 Юни, 2018 от WeAreFinite
Правописна грешка

[111111]

Да уточня че рутер който хакнаха беше с версия 6,41 забранени всички услуги освен winbox и SSH

има и скрипт за блокиране на SSH проби за влизане 

 но за няколко минути се е събрала бая адресна група
като една ирланска VPS хостинг услуга се беше набила с 5 адреса в рутера 

паролата на админа 12 символа никакъв шанс да е в лист с пароли

 

Та дали са пет четири или шест лева не знам но явно е ефективно.

Папката "nova" от онея листи е папка от микротик структурата.

[WeAreFinite]

Всичкото е много хубаво (сарказъм), ама тва няма нищо общо с VPNfilter, приеми факта, че си жертва на бруут форс (но като гледам фаъруалл правилото което си имплементирал малко е невъзможно, но ако атакуващият разполага с голяма ботнет мрежа не виждам какъв е проблема да те атакува от устройства с различни адреси 3 опита са си 3 опита на устройство от бот нет мрежата)  или на MITM (Man In The Middle), по какъв начин точно е станало може само да гадаем, ааа също така само да подметна, че може и да имаш кий логър, знам ли какво точно е?
Но не може просто така да обвиняваш пробива поради някаква слабост в софтуера (която вече е поправена), не че ги защитавам, кой знае колко още ще открият в бъдещето.

И това, че тая директория я има в тея листи не означава че си хакнат чрез този малуеър през SSH.

https://news.sophos.com/en-us/2018/05/24/vpnfilter-botnet-a-sophoslabs-analysis/

Тук също така е описано, че малуеъра може да се разпространи от заразен компютър в мрежата.
В този случай трябват солидни доказателства, че е точно от този малуеър, ако искаш можеш да се свържеш с Микротик съпорта и да им пратиш един supout файл, хората ще проявят разбиране.

Поздрави!

[111111]

С 12 символа парола брутфорса ще бутне мрежата на доставчика и неговия преди да успее.
Паролата е генерирана така че логика в нея няма.

[WeAreFinite]

Не си прав, ето ти бруут форс в реално време :Д
Вярно не е от бот нет мрежа, ама и да беше нищо нямаше да събори.
В случая на тва чудо има вързани и два телефона в момента, а скрийншота е направен във възможно най-натовареният момент.

И пак ти казвам MITM, кий логър и също така не изключвай бруут форс варианта, защото речниците не са единственият начин по който може да се бруут форсва.
Вместо само да спорим напразно, се свържи със съпорта и питай, ако ли не, не смятам че можеш да извадиш достатъчно убедителни доказателства, че точно с този малуеър са те компрометирали.

П.п. За интересуващите се бруут форса беше изпълнен с хидра и с рандъм генерирани стрингове доста по-дълги от 12 символа.

Поздрави!

Редактирано 10 Юни, 2018 от WeAreFinite
Правописна грешка

[office]

Дрънкаш пълни глупости вземи прочети малко преди да пишеш глупости на които сам да си вярваш :)

[WeAreFinite]

Ще е хубаво да се аргументираш, защото фразата "дрънкаш пълни глупости" и нападката която следва след това не са достатъчно добър аргумент с който можеш да обориш това което съм казал.
(Пък и няма да се сърдя ако ми препоръчаш хубаво четиво.)

Я сега да задам един въпрос за домашно, колко голям като размер е един рандъм генериран стринг от 120 символа?
Айде да речем, че и юзърнейма е 120 символа, колко прави това общо?

Поздрави!

[111111]

Точно 1 пакет който е с размер до 1480 бита без фрагментиране,

при 120 символа ще е с доста по малък размер под 300 бита.

и за да тестваш може да използваш 
/tools flood-ping 

за да разбереш разликата.

Четиво няма да ти споделяме по тематиката, защото е елементарно да си намериш автономно.
 

[WeAreFinite]

Правилен отговор, ся ми кажи тва как ще ти задръсти мрежата дори и от бот нет мрежа :Д (особено след като имаш правило за бруут форс и всеки като направи 3 опита влиза в бан листа)
Отклоняваш се от темата, дръпни си какъвто искаш бруут форсъс и тествай.
Явно няма да се разберем.

И да вметна отново, не ти писах да се заяждам а да ти кажа че VPNFilter няма нищо общо с това как си компрометиран, ако имаш доказателства сочещи към обратното, ще бъда щастлив ако бъда поправен.
Във УРЛ-а (който е към официалният форум на Микротик) няколко поста по-нагоре, потребител с юзърнейм normis (работещ в Микротик) казва от какво се възползва даденият малуеър когато атакува Микротик устройства, ако беше прочел всичките 3 страници, щеше да откриеш, че даже имаше един който е с горе-долу същият случай като твоят и е с версия 6.41 и въпросният normis му каза, че са наблюдавали подобен трафик и е бруут форс със сигурност.

Просто всяваш ненужна паника според мен, за това реших да драсна нещо.

Приятен ден!

Редактирано 10 Юни, 2018 от WeAreFinite
Допълнение

[gbdesign]

120 символа са 120 байта, което пък е 960 бита. Като прибавим сорс, дестинейшън портове и адреси и другата служебна информация в пакета, то това тамън ще се побере в един стандартен пакет. 

[ExIt]

Добре е момци, защо трябва се дракате, а не споделите просто практиките които имате.

Идеята е, че всеки който ползва миркотик го ползва с определена цел, но някой от вас които са повече(администратори или ги използва за по мащабни цели.) биха могли да споделят как да се предпазим ние начинаещите.

Идеята ми е не са са Копи/Пасте от някъде, а и да се опише подробно какво прави дадено правил за да сме наясно.

 

[gbdesign]

преди 27 минути, ExIt написа:

Добре е момци, защо трябва се дракате, а не споделите просто практиките които имате.

Идеята е, че всеки който ползва миркотик го ползва с определена цел, но някой от вас които са повече(администратори или ги използва за по мащабни цели.) биха могли да споделят как да се предпазим ние начинаещите.

Идеята ми е не са са Копи/Пасте от някъде, а и да се опише подробно какво прави дадено правил за да сме наясно.

 

Много просто. Изключване на вграденият уебсървър и дроп на всички сервизни портове от към WAN-а и мениджмънт само през локалните адреси и през VPN.

[niki5]

Абсолютно за по горното, спиране всички портове сервизни и управление само през VPN и спиране на WEB Сървара.УПравление само през SSH,WINBOX като препоръчвам и смяна на портовете на тези две услуги.Съответно листа и правило в защитната стена от кои точно IP да е разрешен достапа като достапа ще е само за администраторите.