Rus breekt in bij MikroTik routers en dicht de gaten

Gebruikersavatar
antutu
Plus Member
Plus Member
Berichten: 154
Lid geworden op: 12 Jun 2017
Bedankt: 10 keer
Uitgedeelde bedankjes: 46 keer

Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor antutu » 15 Okt 2018, 21:34

https://www.zdnet.com/article/a-mysteri ... k-routers/

Zo'n hackers kunnen we alleen maar toejuichen. :D Hij laat ook een bericht achter met daarin een Telegram handle waarop de 'getroffen' users een bericht kunnen achterlaten. Vijftig deden dat al, maar slechts een paar van de schrijvers bedankten de hacker. De meesten waren volgens de hacker verontwaardigd.
Samsung Galaxy S8: Orange Koala 4 GB Unlim. calls + text
Televisie / internet / vaste telefonie: Scarlet Trio

Gebruikersavatar
splinterbyte
Premium Member
Premium Member
Berichten: 735
Lid geworden op: 16 Jun 2006
Locatie: Zuiderkempen
Bedankt: 6 keer
Uitgedeelde bedankjes: 27 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor splinterbyte » 16 Okt 2018, 09:24

Ziet er een goed artikel uit.
Nu het is al een beetje fout om je webinterface port open te zetten naar internet...
Maar ook niet handig dat de routers geen auto updates doen.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29209
Lid geworden op: 28 Okt 2003
Bedankt: 1928 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 405 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor r2504 » 16 Okt 2018, 12:40

Erger is dat er een nieuwe bug is... https://www.zdnet.com/article/known-mik ... ot-access/

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2715
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 371 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 129 keer
Contact:

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor Tim.Bracquez » 16 Okt 2018, 17:04

Het erge is dat er direct een patch uit kwam, maar blijkbaar nog een heleboel mensen niet ge-update hebben.

In het artikel spreken ze niet over een nieuwe bug, maar een bestaande die van medium naar nu critical status ge-update is omdat je via daar niet alleen admin access kreeg, maar via zijn techniek root!

Tot zover lijkt als je de laatste current of bugfix release draait deze de patches al heeft
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

CCatalyst
Elite Poster
Elite Poster
Berichten: 1549
Lid geworden op: 20 Jun 2016
Bedankt: 139 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 1 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor CCatalyst » 17 Okt 2018, 00:23

Ik raad voorlopig geen MikroTik aan tot ze hun zaakjes weer op orde hebben, want er is toch een en ander grondig mis op dit ogenblik.

En ik ga niet zeggen dat dit enkel MikroTik is, integendeel, Cisco ging enkele jaren geleden door een gelijkaardige periode, maar heeft daaruit geleerd, zich herpakt en staat security-wise er nu veel sterker voor dan toen*, oa met sneller/actiever patchen van bugs en met proactieve initiatieven als Cisco Talos. Het spreekt boekdelen dat het Talos was die de MikroTik-bug vond. MikroTik zal hier ook sterker uitkomen, maar dit heeft altijd wat tijd nodig.

* zeg ik nu dat Cisco geen enkele vulnerability meer heeft? Nee, dat zeg ik niet.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29209
Lid geworden op: 28 Okt 2003
Bedankt: 1928 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 405 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor r2504 » 17 Okt 2018, 09:17

CCatalyst schreef:Ik raad voorlopig geen MikroTik aan tot ze hun zaakjes weer op orde hebben


Volgens mij zijn er pacthes dus ik begrijp je standpunt niet... ieder merk van firewalls heeft al security issues gehad of nog steeds zoals je aangeeft, dan mag je uiteindelijk niets meer aanbevelen. Trouwens als je de Winbox interface niet open zet naar buiten toe (zoals iedereen doet die een klein beetje verstand heeft) heb je geen problemen.

tb0ne
Elite Poster
Elite Poster
Berichten: 901
Lid geworden op: 24 Aug 2012
Bedankt: 78 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 26 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor tb0ne » 17 Okt 2018, 10:40

Ze zijn aantrekkelijk als target want ze worden veelvuldig gebruikt, daarnaast zie ik Mikrotik eigenlijk weinig verkeerd doen?
Ze communiceren en patchen snel, ook hier waren de patches er snel.
Waarom je dat moet afraden, geen idee.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29209
Lid geworden op: 28 Okt 2003
Bedankt: 1928 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 405 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor r2504 » 17 Okt 2018, 12:33

De vraag is of veel high-end bedrijven ze gebruiken... dat is eerder het segment van Cisco, Juniper, ...

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2715
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 371 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 129 keer
Contact:

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor Tim.Bracquez » 17 Okt 2018, 13:31

Gek standpunt, hun patch was er dezelfde dag. Cisco had ook eens zo een lekje waar de NSA jaren gebruik van maakte, duurde een week voor een fix
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

CCatalyst
Elite Poster
Elite Poster
Berichten: 1549
Lid geworden op: 20 Jun 2016
Bedankt: 139 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 1 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor CCatalyst » 17 Okt 2018, 13:56

Naar ik begrijp gaat dit probleem toch wel over langer dan 1 dag...

Wat me ook opvalt is de omvangrijkheid van het "VPNFilter" probleem, dit is geen klein bier maar dit ging Mirai achterna, waardoor ik me sterk afvraag wie hier achter zat, hoe ze deze vulnerability gevonden hebben en waarom de keuze voor MikroTik...

Als je dan "Oekraïne" hoort vallen als het voornaamste slachtoffer (incl hun kritieke infrastructuur) begin je al een beeld te krijgen van wie hier achter zit. Het gaat hier niet over een huis/thuis/keuken-hacker.

Voorlopig dus net iets teveel vraagtekens om gerust te zijn.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 6269
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 466 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 316 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor heist_175 » 17 Okt 2018, 14:02

Of het nou een dag of een week duurt, in beide gevallen is dat razendsnel.
Ik heb geen ervaring met firmware of software voor routers, maar een fix regelen de dag zelf of binnen de week, is sowieso heel snel.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29209
Lid geworden op: 28 Okt 2003
Bedankt: 1928 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 405 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor r2504 » 17 Okt 2018, 14:05

CCatalyst schreef:Naar ik begrijp gaat dit probleem...


Voor zover ik weet hebben alle problemen te maken met Winbox welke extern open staat... op een Cisco ga je ook niet TELNET naar buiten open zetten.

Een correct geconfigureerde Mikrotik heeft dus geen issues (correct me if I'm wrong).

CCatalyst
Elite Poster
Elite Poster
Berichten: 1549
Lid geworden op: 20 Jun 2016
Bedankt: 139 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 1 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor CCatalyst » 17 Okt 2018, 14:11

Machtig land A "ontdekt" vulnerability in MikroTik, misbruikt het om politieke redenen tegen een buurland.
MikroTik, dat zich in de buurt van beide landen bevindt, ontdekt het (zogezegd) zelf niet.
Nog machtiger land B, dat machtig land A niet kan luchten, "ontdekt" vulnerabilty, zet het in de media-aandacht.
MikroTik patcht razendsnel.

... ik weet niet wat jij denkt, maar ik kijk wel even de kat uit de boom

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29209
Lid geworden op: 28 Okt 2003
Bedankt: 1928 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 405 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor r2504 » 17 Okt 2018, 16:03

Machtig land A "vraagt" aan Cisco een lek in te bouwen.
Machtig land A kijkt al die tijd gewoon mee en zegt niets, ook Cisco niet.
Na jaren "ontdekt" iemand het lek en wordt het eindelijk gepatched (althans dat hopen we).

... ik weet niet wat jij denkt maar ik weet het dan toch.

Begrijp ook niet waarom je hier een drama van blijft maken aangezien je geen last hebt met een correct geconfigureerde MikroTik.

CCatalyst
Elite Poster
Elite Poster
Berichten: 1549
Lid geworden op: 20 Jun 2016
Bedankt: 139 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 1 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor CCatalyst » 4 weken 1 dag 23 uur geleden (17 Okt 2018, 22:08)

r2504 schreef:... ik weet niet wat jij denkt maar ik weet het dan toch.


Ik denk dat we hier deze situatie opnieuw kunnen meemaken. Zoals ik al zei: "Cisco ging enkele jaren geleden door een gelijkaardige periode". Net zoals toen ook het geval was lijkt het nu ook aangewezen om even te wachten tot het stof gaat liggen en we het bos weer door de bomen kunnen zien.

Het "drama" is eenvoudig, als het hier effectief een rinse/repeat van Cisco is, dan doet "correct geconfigureerd" er niets toe, want hoe ben je zeker dat ze geen andere vulnerability gebruiken? Enige verschil met Cisco is dat er momenteel geen aanwijzingen zijn dat dit bij Cisco nog steeds gaande is (geen garantie natuurlijk) en daarnaast ook dat "Land A" bij Cisco en "Land A" bij MikroTik toch wel erg verschillend te werk gaan, die laatste draait z'n hand er niet voor om om verkiezingen te manipuleren of om kritieke infrastructuur als elektriciteitscentrales aan te vallen oid.

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 1715
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 55 keer
Uitgedeelde bedankjes: 112 keer
Contact:

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor devilkin » 4 weken 1 dag 13 uur geleden (18 Okt 2018, 08:53)

Ik snap wel niet dat je zulks materieel aankoopt, en dan niet de moeite doet om het uptodate te houden... Asking for trouble?
Telenet Whoppa -- using Ubiquiti USG-3
Mobile Vikings & Proximus-- Using OnePlus 6 (ROM: Stock)

laroyj
Elite Poster
Elite Poster
Berichten: 1931
Lid geworden op: 19 Mar 2011
Locatie: TIELT
Bedankt: 102 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 24 keer
Contact:

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor laroyj » 4 weken 1 dag 12 uur geleden (18 Okt 2018, 09:15)

tja, sommige mensen redeneren , wanneer het werkt blijf ik er af, updaten houdt altijd risico's in, bvb bugs die erin zitten, temeer het bij mikrotik in de praktijk niet altijd op 1-2-3 lukt om een export te importeren op een andere versie, en restore van een backup ook niet altijd aangewezen is...

persoonlijk plaats ik de nieuwste versie erop wanneer ik een nieuw toestel aankoop, en wanneer alles in orde is, laat ik het zo, tenzij er idd problemen zijn en ik moet gaan patchen of updaten...
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29209
Lid geworden op: 28 Okt 2003
Bedankt: 1928 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 405 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor r2504 » 4 weken 1 dag 12 uur geleden (18 Okt 2018, 09:26)

laroyj schreef:tja, sommige mensen redeneren , wanneer het werkt blijf ik er af


Slechte methode voor een firewall... security is constant in beweging.

laroyj schreef:temeer het bij mikrotik in de praktijk niet altijd op 1-2-3 lukt om een export te importeren op een andere versie, en restore van een backup ook niet altijd aangewezen is...


Export maakt gewoon een configuratie script aan... ik zie niet in wat hier een probleem mee kan zijn en wat niet oplosbaar zou zijn.

laroyj schreef:persoonlijk plaats ik de nieuwste versie erop wanneer ik een nieuw toestel aankoop, en wanneer alles in orde is, laat ik het zo, tenzij er idd problemen zijn en ik moet gaan patchen of updaten...


Nogmaals... slecht idee voor een firewall ! Het is zoals het slot dat 20 jaar geleden in je huis zat te behouden omdat het werkt.

Tomsworld
Elite Poster
Elite Poster
Berichten: 1900
Lid geworden op: 29 Jan 2004
Bedankt: 164 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 23 keer

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor Tomsworld » 4 weken 1 dag 12 uur geleden (18 Okt 2018, 09:27)

Ik zou het leuk vinden als je zo'n bugs semi automatisch zou kunnen laten upgraden. Nu doe ik dat manueel maar soit duurt even voor alle routers gedaan zijn.
Provider: Belgacom comfort VDSL2 100/20 Vectoring & DLM enabled ( Abbo 100/6 ) + Telenet Bussiness 240 ( Test )
Netwerk: BBox3 (Sagem), Unifi Edgerouter Lite, 2 x UniFi® AP AC Pro 's + switches Voip: Voip Ovh + 3*net
Tv: BGC TV met decoder v4 + v5

laroyj
Elite Poster
Elite Poster
Berichten: 1931
Lid geworden op: 19 Mar 2011
Locatie: TIELT
Bedankt: 102 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 24 keer
Contact:

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor laroyj » 4 weken 1 dag 12 uur geleden (18 Okt 2018, 09:45)

een methode die beter is dan de export te importeren, of om dan geen foutmeldingen te krijgen is idd om het scriptje in stappen manueel in het terminalvenster in te brengen, probleem in mijn geval is dat het script wel bijna 10 pagina's telt, dan ben je wel efkes bezig, voor tientallen toestellen met heel wat portforwardings... vind het hele goede routers, maar wanneer je een configuratie van het ene toestel op een backup toestel moet zetten, zelfs exact hetzelfde type, verloopt dat niet altijd even makkelijk...
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be

Gebruikersavatar
krisken
Elite Poster
Elite Poster
Berichten: 18160
Lid geworden op: 07 Nov 2006
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Bedankt: 882 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 1741 keer
Contact:

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor krisken » 4 weken 1 dag 11 uur geleden (18 Okt 2018, 10:57)

Als je een export doe, gewoon even openen in een editor (notepad werkt bvb prima) en overal de MAC adressen uithalen. Plaats dat bestand terug op de Mikrotik en dan werkt de import altijd en overal. Anders faalt het inderdaad regelmatig.

En zoals reeds aangehaald : set-and-forget is niet echt een goede methode!

Internet = Orange 100/10Mbps + WirelessBelgië + Billi (2x 100/30Mbps profiel)
Telefonie = WeePee + Speakup + Billi + OVH
GSM = Orange Koala Smartphone + Scarlet Red
TV = Bhaalu + Netflix + Orange
Netwerk = Mikrotik & UBNT powered

laroyj
Elite Poster
Elite Poster
Berichten: 1931
Lid geworden op: 19 Mar 2011
Locatie: TIELT
Bedankt: 102 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 24 keer
Contact:

Re: Rus breekt in bij MikroTik routers en dicht de gaten

Berichtdoor laroyj » 4 weken 1 dag 5 uur geleden (18 Okt 2018, 16:23)

Dat heb ik idd de laatste keer aan de lijve ondervonden Krisken, uiteindelijk werkte het wel, maar het MAC adress van de initiele gexporteerde router werd op de geimporteerde router gekloond... anderzijds het rechtstreeks toegankelijke *.sn.mynetname.net werd wel behouden...

>Heb dit dan op de manier zoals U hier vermeld terug rechtgezet, maar dat zijn truken van de fore, die niet in de manual staan en niet makkelijk te vinden zijn, al doende leerde :)
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be


Terug naar “Ander nieuws”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 3 gasten