Rus breekt in bij MikroTik routers en dicht de gaten

Ander nieuws dat te maken heeft met topics die op userbase kunnen besproken worden
Plaats reactie
Gebruikersavatar
antutu
Pro Member
Pro Member
Berichten: 376
Lid geworden op: 12 jun 2017, 17:17
Uitgedeelde bedankjes: 147 keer
Bedankt: 37 keer

https://www.zdnet.com/article/a-mysteri ... k-routers/

Zo'n hackers kunnen we alleen maar toejuichen. :D Hij laat ook een bericht achter met daarin een Telegram handle waarop de 'getroffen' users een bericht kunnen achterlaten. Vijftig deden dat al, maar slechts een paar van de schrijvers bedankten de hacker. De meesten waren volgens de hacker verontwaardigd.
There's something strange and you can't reboot. Who you gonna call? Joost Prutsers.
splinterbyte
Elite Poster
Elite Poster
Berichten: 1754
Lid geworden op: 16 jun 2006, 18:34
Locatie: Rivierenland
Uitgedeelde bedankjes: 176 keer
Bedankt: 83 keer

Ziet er een goed artikel uit.
Nu het is al een beetje fout om je webinterface port open te zetten naar internet...
Maar ook niet handig dat de routers geen auto updates doen.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Erger is dat er een nieuwe bug is... https://www.zdnet.com/article/known-mik ... ot-access/
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

Het erge is dat er direct een patch uit kwam, maar blijkbaar nog een heleboel mensen niet ge-update hebben.

In het artikel spreken ze niet over een nieuwe bug, maar een bestaande die van medium naar nu critical status ge-update is omdat je via daar niet alleen admin access kreeg, maar via zijn techniek root!

Tot zover lijkt als je de laatste current of bugfix release draait deze de patches al heeft
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Ik raad voorlopig geen MikroTik aan tot ze hun zaakjes weer op orde hebben, want er is toch een en ander grondig mis op dit ogenblik.

En ik ga niet zeggen dat dit enkel MikroTik is, integendeel, Cisco ging enkele jaren geleden door een gelijkaardige periode, maar heeft daaruit geleerd, zich herpakt en staat security-wise er nu veel sterker voor dan toen*, oa met sneller/actiever patchen van bugs en met proactieve initiatieven als Cisco Talos. Het spreekt boekdelen dat het Talos was die de MikroTik-bug vond. MikroTik zal hier ook sterker uitkomen, maar dit heeft altijd wat tijd nodig.

* zeg ik nu dat Cisco geen enkele vulnerability meer heeft? Nee, dat zeg ik niet.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

CCatalyst schreef:Ik raad voorlopig geen MikroTik aan tot ze hun zaakjes weer op orde hebben
Volgens mij zijn er pacthes dus ik begrijp je standpunt niet... ieder merk van firewalls heeft al security issues gehad of nog steeds zoals je aangeeft, dan mag je uiteindelijk niets meer aanbevelen. Trouwens als je de Winbox interface niet open zet naar buiten toe (zoals iedereen doet die een klein beetje verstand heeft) heb je geen problemen.
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Ze zijn aantrekkelijk als target want ze worden veelvuldig gebruikt, daarnaast zie ik Mikrotik eigenlijk weinig verkeerd doen?
Ze communiceren en patchen snel, ook hier waren de patches er snel.
Waarom je dat moet afraden, geen idee.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

De vraag is of veel high-end bedrijven ze gebruiken... dat is eerder het segment van Cisco, Juniper, ...
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

Gek standpunt, hun patch was er dezelfde dag. Cisco had ook eens zo een lekje waar de NSA jaren gebruik van maakte, duurde een week voor een fix
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Naar ik begrijp gaat dit probleem toch wel over langer dan 1 dag...

Wat me ook opvalt is de omvangrijkheid van het "VPNFilter" probleem, dit is geen klein bier maar dit ging Mirai achterna, waardoor ik me sterk afvraag wie hier achter zat, hoe ze deze vulnerability gevonden hebben en waarom de keuze voor MikroTik...

Als je dan "Oekraïne" hoort vallen als het voornaamste slachtoffer (incl hun kritieke infrastructuur) begin je al een beeld te krijgen van wie hier achter zit. Het gaat hier niet over een huis/thuis/keuken-hacker.

Voorlopig dus net iets teveel vraagtekens om gerust te zijn.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

Of het nou een dag of een week duurt, in beide gevallen is dat razendsnel.
Ik heb geen ervaring met firmware of software voor routers, maar een fix regelen de dag zelf of binnen de week, is sowieso heel snel.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

CCatalyst schreef:Naar ik begrijp gaat dit probleem...
Voor zover ik weet hebben alle problemen te maken met Winbox welke extern open staat... op een Cisco ga je ook niet TELNET naar buiten open zetten.

Een correct geconfigureerde Mikrotik heeft dus geen issues (correct me if I'm wrong).
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Machtig land A "ontdekt" vulnerability in MikroTik, misbruikt het om politieke redenen tegen een buurland.
MikroTik, dat zich in de buurt van beide landen bevindt, ontdekt het (zogezegd) zelf niet.
Nog machtiger land B, dat machtig land A niet kan luchten, "ontdekt" vulnerabilty, zet het in de media-aandacht.
MikroTik patcht razendsnel.

... ik weet niet wat jij denkt, maar ik kijk wel even de kat uit de boom
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Machtig land A "vraagt" aan Cisco een lek in te bouwen.
Machtig land A kijkt al die tijd gewoon mee en zegt niets, ook Cisco niet.
Na jaren "ontdekt" iemand het lek en wordt het eindelijk gepatched (althans dat hopen we).

... ik weet niet wat jij denkt maar ik weet het dan toch.

Begrijp ook niet waarom je hier een drama van blijft maken aangezien je geen last hebt met een correct geconfigureerde MikroTik.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

r2504 schreef: ... ik weet niet wat jij denkt maar ik weet het dan toch.
Ik denk dat we hier deze situatie opnieuw kunnen meemaken. Zoals ik al zei: "Cisco ging enkele jaren geleden door een gelijkaardige periode". Net zoals toen ook het geval was lijkt het nu ook aangewezen om even te wachten tot het stof gaat liggen en we het bos weer door de bomen kunnen zien.

Het "drama" is eenvoudig, als het hier effectief een rinse/repeat van Cisco is, dan doet "correct geconfigureerd" er niets toe, want hoe ben je zeker dat ze geen andere vulnerability gebruiken? Enige verschil met Cisco is dat er momenteel geen aanwijzingen zijn dat dit bij Cisco nog steeds gaande is (geen garantie natuurlijk) en daarnaast ook dat "Land A" bij Cisco en "Land A" bij MikroTik toch wel erg verschillend te werk gaan, die laatste draait z'n hand er niet voor om om verkiezingen te manipuleren of om kritieke infrastructuur als elektriciteitscentrales aan te vallen oid.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 5998
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 826 keer
Bedankt: 506 keer
Recent bedankt: 2 keer

Ik snap wel niet dat je zulks materieel aankoopt, en dan niet de moeite doet om het uptodate te houden... Asking for trouble?
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
laroyj
Elite Poster
Elite Poster
Berichten: 2006
Lid geworden op: 19 maa 2011, 08:42
Locatie: TIELT
Uitgedeelde bedankjes: 24 keer
Bedankt: 103 keer

tja, sommige mensen redeneren , wanneer het werkt blijf ik er af, updaten houdt altijd risico's in, bvb bugs die erin zitten, temeer het bij mikrotik in de praktijk niet altijd op 1-2-3 lukt om een export te importeren op een andere versie, en restore van een backup ook niet altijd aangewezen is...

persoonlijk plaats ik de nieuwste versie erop wanneer ik een nieuw toestel aankoop, en wanneer alles in orde is, laat ik het zo, tenzij er idd problemen zijn en ik moet gaan patchen of updaten...
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

laroyj schreef:tja, sommige mensen redeneren , wanneer het werkt blijf ik er af
Slechte methode voor een firewall... security is constant in beweging.
laroyj schreef:temeer het bij mikrotik in de praktijk niet altijd op 1-2-3 lukt om een export te importeren op een andere versie, en restore van een backup ook niet altijd aangewezen is...
Export maakt gewoon een configuratie script aan... ik zie niet in wat hier een probleem mee kan zijn en wat niet oplosbaar zou zijn.
laroyj schreef:persoonlijk plaats ik de nieuwste versie erop wanneer ik een nieuw toestel aankoop, en wanneer alles in orde is, laat ik het zo, tenzij er idd problemen zijn en ik moet gaan patchen of updaten...
Nogmaals... slecht idee voor een firewall ! Het is zoals het slot dat 20 jaar geleden in je huis zat te behouden omdat het werkt.
Tomsworld
Elite Poster
Elite Poster
Berichten: 2655
Lid geworden op: 29 jan 2004, 10:15
Uitgedeelde bedankjes: 85 keer
Bedankt: 231 keer

Ik zou het leuk vinden als je zo'n bugs semi automatisch zou kunnen laten upgraden. Nu doe ik dat manueel maar soit duurt even voor alle routers gedaan zijn.
laroyj
Elite Poster
Elite Poster
Berichten: 2006
Lid geworden op: 19 maa 2011, 08:42
Locatie: TIELT
Uitgedeelde bedankjes: 24 keer
Bedankt: 103 keer

een methode die beter is dan de export te importeren, of om dan geen foutmeldingen te krijgen is idd om het scriptje in stappen manueel in het terminalvenster in te brengen, probleem in mijn geval is dat het script wel bijna 10 pagina's telt, dan ben je wel efkes bezig, voor tientallen toestellen met heel wat portforwardings... vind het hele goede routers, maar wanneer je een configuratie van het ene toestel op een backup toestel moet zetten, zelfs exact hetzelfde type, verloopt dat niet altijd even makkelijk...
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be
Gebruikersavatar
krisken
userbase crew
userbase crew
Berichten: 19763
Lid geworden op: 07 nov 2006, 12:11
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Uitgedeelde bedankjes: 1857 keer
Bedankt: 1035 keer

Als je een export doe, gewoon even openen in een editor (notepad werkt bvb prima) en overal de MAC adressen uithalen. Plaats dat bestand terug op de Mikrotik en dan werkt de import altijd en overal. Anders faalt het inderdaad regelmatig.

En zoals reeds aangehaald : set-and-forget is niet echt een goede methode!

Internet = Orange 150/15Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Go Extreme SE + Scarlet Red
TV = TVV App + Netflix + Disney+ + Streamz
Netwerk = Mikrotik + Ubiquiti
laroyj
Elite Poster
Elite Poster
Berichten: 2006
Lid geworden op: 19 maa 2011, 08:42
Locatie: TIELT
Uitgedeelde bedankjes: 24 keer
Bedankt: 103 keer

Dat heb ik idd de laatste keer aan de lijve ondervonden Krisken, uiteindelijk werkte het wel, maar het MAC adress van de initiele gexporteerde router werd op de geimporteerde router gekloond... anderzijds het rechtstreeks toegankelijke *.sn.mynetname.net werd wel behouden...

>Heb dit dan op de manier zoals U hier vermeld terug rechtgezet, maar dat zijn truken van de fore, die niet in de manual staan en niet makkelijk te vinden zijn, al doende leerde :)
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be
Plaats reactie

Terug naar “Ander nieuws”