Rus breekt in bij MikroTik routers en dicht de gaten

[antutu]

https://www.zdnet.com/article/a-mysteri ... k-routers/

Zo'n hackers kunnen we alleen maar toejuichen. Hij laat ook een bericht achter met daarin een Telegram handle waarop de 'getroffen' users een bericht kunnen achterlaten. Vijftig deden dat al, maar slechts een paar van de schrijvers bedankten de hacker. De meesten waren volgens de hacker verontwaardigd.

[splinterbyte]

Ziet er een goed artikel uit.
Nu het is al een beetje fout om je webinterface port open te zetten naar internet...
Maar ook niet handig dat de routers geen auto updates doen.

[ubremoved_539]

Erger is dat er een nieuwe bug is... https://www.zdnet.com/article/known-mik ... ot-access/

[Tim.Bracquez]

Het erge is dat er direct een patch uit kwam, maar blijkbaar nog een heleboel mensen niet ge-update hebben.

In het artikel spreken ze niet over een nieuwe bug, maar een bestaande die van medium naar nu critical status ge-update is omdat je via daar niet alleen admin access kreeg, maar via zijn techniek root!

Tot zover lijkt als je de laatste current of bugfix release draait deze de patches al heeft

[CCatalyst]

Ik raad voorlopig geen MikroTik aan tot ze hun zaakjes weer op orde hebben, want er is toch een en ander grondig mis op dit ogenblik.

En ik ga niet zeggen dat dit enkel MikroTik is, integendeel, Cisco ging enkele jaren geleden door een gelijkaardige periode, maar heeft daaruit geleerd, zich herpakt en staat security-wise er nu veel sterker voor dan toen*, oa met sneller/actiever patchen van bugs en met proactieve initiatieven als Cisco Talos. Het spreekt boekdelen dat het Talos was die de MikroTik-bug vond. MikroTik zal hier ook sterker uitkomen, maar dit heeft altijd wat tijd nodig.

* zeg ik nu dat Cisco geen enkele vulnerability meer heeft? Nee, dat zeg ik niet.

[ubremoved_539]

Ik raad voorlopig geen MikroTik aan tot ze hun zaakjes weer op orde hebben

Volgens mij zijn er pacthes dus ik begrijp je standpunt niet... ieder merk van firewalls heeft al security issues gehad of nog steeds zoals je aangeeft, dan mag je uiteindelijk niets meer aanbevelen. Trouwens als je de Winbox interface niet open zet naar buiten toe (zoals iedereen doet die een klein beetje verstand heeft) heb je geen problemen.

[tb0ne]

Ze zijn aantrekkelijk als target want ze worden veelvuldig gebruikt, daarnaast zie ik Mikrotik eigenlijk weinig verkeerd doen?
Ze communiceren en patchen snel, ook hier waren de patches er snel.
Waarom je dat moet afraden, geen idee.

[ubremoved_539]

De vraag is of veel high-end bedrijven ze gebruiken... dat is eerder het segment van Cisco, Juniper, ...

[Tim.Bracquez]

Gek standpunt, hun patch was er dezelfde dag. Cisco had ook eens zo een lekje waar de NSA jaren gebruik van maakte, duurde een week voor een fix

[CCatalyst]

Naar ik begrijp gaat dit probleem toch wel over langer dan 1 dag...

Wat me ook opvalt is de omvangrijkheid van het "VPNFilter" probleem, dit is geen klein bier maar dit ging Mirai achterna, waardoor ik me sterk afvraag wie hier achter zat, hoe ze deze vulnerability gevonden hebben en waarom de keuze voor MikroTik...

Als je dan "Oekraïne" hoort vallen als het voornaamste slachtoffer (incl hun kritieke infrastructuur) begin je al een beeld te krijgen van wie hier achter zit. Het gaat hier niet over een huis/thuis/keuken-hacker.

Voorlopig dus net iets teveel vraagtekens om gerust te zijn.

[heist_175]

Of het nou een dag of een week duurt, in beide gevallen is dat razendsnel.
Ik heb geen ervaring met firmware of software voor routers, maar een fix regelen de dag zelf of binnen de week, is sowieso heel snel.

[ubremoved_539]

Naar ik begrijp gaat dit probleem...

Voor zover ik weet hebben alle problemen te maken met Winbox welke extern open staat... op een Cisco ga je ook niet TELNET naar buiten open zetten.

Een correct geconfigureerde Mikrotik heeft dus geen issues (correct me if I'm wrong).

[CCatalyst]

Machtig land A "ontdekt" vulnerability in MikroTik, misbruikt het om politieke redenen tegen een buurland.
MikroTik, dat zich in de buurt van beide landen bevindt, ontdekt het (zogezegd) zelf niet.
Nog machtiger land B, dat machtig land A niet kan luchten, "ontdekt" vulnerabilty, zet het in de media-aandacht.
MikroTik patcht razendsnel.

... ik weet niet wat jij denkt, maar ik kijk wel even de kat uit de boom

[ubremoved_539]

Machtig land A "vraagt" aan Cisco een lek in te bouwen.
Machtig land A kijkt al die tijd gewoon mee en zegt niets, ook Cisco niet.
Na jaren "ontdekt" iemand het lek en wordt het eindelijk gepatched (althans dat hopen we).

... ik weet niet wat jij denkt maar ik weet het dan toch.

Begrijp ook niet waarom je hier een drama van blijft maken aangezien je geen last hebt met een correct geconfigureerde MikroTik.

[CCatalyst]

... ik weet niet wat jij denkt maar ik weet het dan toch.

Ik denk dat we hier deze situatie opnieuw kunnen meemaken. Zoals ik al zei: "Cisco ging enkele jaren geleden door een gelijkaardige periode". Net zoals toen ook het geval was lijkt het nu ook aangewezen om even te wachten tot het stof gaat liggen en we het bos weer door de bomen kunnen zien.

Het "drama" is eenvoudig, als het hier effectief een rinse/repeat van Cisco is, dan doet "correct geconfigureerd" er niets toe, want hoe ben je zeker dat ze geen andere vulnerability gebruiken? Enige verschil met Cisco is dat er momenteel geen aanwijzingen zijn dat dit bij Cisco nog steeds gaande is (geen garantie natuurlijk) en daarnaast ook dat "Land A" bij Cisco en "Land A" bij MikroTik toch wel erg verschillend te werk gaan, die laatste draait z'n hand er niet voor om om verkiezingen te manipuleren of om kritieke infrastructuur als elektriciteitscentrales aan te vallen oid.

[devilkin]

Ik snap wel niet dat je zulks materieel aankoopt, en dan niet de moeite doet om het uptodate te houden... Asking for trouble?

[laroyj]

tja, sommige mensen redeneren , wanneer het werkt blijf ik er af, updaten houdt altijd risico's in, bvb bugs die erin zitten, temeer het bij mikrotik in de praktijk niet altijd op 1-2-3 lukt om een export te importeren op een andere versie, en restore van een backup ook niet altijd aangewezen is...

persoonlijk plaats ik de nieuwste versie erop wanneer ik een nieuw toestel aankoop, en wanneer alles in orde is, laat ik het zo, tenzij er idd problemen zijn en ik moet gaan patchen of updaten...

[ubremoved_539]

tja, sommige mensen redeneren , wanneer het werkt blijf ik er af

Slechte methode voor een firewall... security is constant in beweging.

temeer het bij mikrotik in de praktijk niet altijd op 1-2-3 lukt om een export te importeren op een andere versie, en restore van een backup ook niet altijd aangewezen is...

Export maakt gewoon een configuratie script aan... ik zie niet in wat hier een probleem mee kan zijn en wat niet oplosbaar zou zijn.

persoonlijk plaats ik de nieuwste versie erop wanneer ik een nieuw toestel aankoop, en wanneer alles in orde is, laat ik het zo, tenzij er idd problemen zijn en ik moet gaan patchen of updaten...

Nogmaals... slecht idee voor een firewall ! Het is zoals het slot dat 20 jaar geleden in je huis zat te behouden omdat het werkt.

[Tomsworld]

Ik zou het leuk vinden als je zo'n bugs semi automatisch zou kunnen laten upgraden. Nu doe ik dat manueel maar soit duurt even voor alle routers gedaan zijn.

[laroyj]

een methode die beter is dan de export te importeren, of om dan geen foutmeldingen te krijgen is idd om het scriptje in stappen manueel in het terminalvenster in te brengen, probleem in mijn geval is dat het script wel bijna 10 pagina's telt, dan ben je wel efkes bezig, voor tientallen toestellen met heel wat portforwardings... vind het hele goede routers, maar wanneer je een configuratie van het ene toestel op een backup toestel moet zetten, zelfs exact hetzelfde type, verloopt dat niet altijd even makkelijk...

[krisken]

Als je een export doe, gewoon even openen in een editor (notepad werkt bvb prima) en overal de MAC adressen uithalen. Plaats dat bestand terug op de Mikrotik en dan werkt de import altijd en overal. Anders faalt het inderdaad regelmatig.

En zoals reeds aangehaald : set-and-forget is niet echt een goede methode!

[laroyj]

Dat heb ik idd de laatste keer aan de lijve ondervonden Krisken, uiteindelijk werkte het wel, maar het MAC adress van de initiele gexporteerde router werd op de geimporteerde router gekloond... anderzijds het rechtstreeks toegankelijke *.sn.mynetname.net werd wel behouden...

>Heb dit dan op de manier zoals U hier vermeld terug rechtgezet, maar dat zijn truken van de fore, die niet in de manual staan en niet makkelijk te vinden zijn, al doende leerde