Krytyczna podatność w Mikrotikach – łatajcie ASAP

23 kwietnia 2018, 18:45 | W biegu | komentarzy 6
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Udostępniono patcha na krytyczną podatność, umożliwiającą zdalny, nieautoryzowany dostęp do urządzenia (poprzez Winbox). Problem dotyka systemy w wersjach od 6.29 do 6.43rc3.

Jako wstępny workaround podano następujące rozwiązanie:

If your Winbox port is open to untrusted networks, assume that you are affected and upgrade + change password + add firewall.

Podatność załatano w wersjach OS: 6.42.1 oraz 6.43rc4. Producent Mikrotika zaleca też nieudostępnianie do Internetu portu usługi Winbox; przy okazji warto też zmienić swoje hasła dostępowe do urządzeń.

W cytowanym poście znajdziemy informację o tym, że bez uwierzytelnienia można pobrać bazę użytkowników, a w bazie znajdziemy hasła zapisane w plaintext:

This implies at minimum that the user database file not only contains actual passwords (instead of hashes) but keeps those passwords in the clear or very close to it. Both practices are almost unheard of in modern security practices!

Ta ostatnia informacja nie jest jeszcze sprawdzona, zapewne w najbliższym czasie pojawią się aktualizacje.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Daniel

    http://manio.skyboo.net/mikrotik/index.po.php
    Nie w plaintext, ale prawie że – bo w sposób możliwy do odczytania. MikroTik twierdzi, że pracuje nad tym również :).
    Swoją drogą MikroTik wpadł na ciekawy patent szyfrowania hasła :).
    „do nazwy użytkownika doklejany jest stały ciąg znaków „283i4jfkai3389” a z całości tego „zlepka” jest liczona suma md5. Obliczona suma to własnie klucz do dekodowania hasła :)”

    Odpowiedz
  2. Pietrek

    Upgrade zrobione.
    Dziękuję za informację.

    Odpowiedz
  3. MrS0n

    Nie ma to jak pod presją dziurki ładować z palca najnowszy release. Tylko czekać aż w sieci stanie OSPF MPLS albo VLANy … albo może porty się zaczną zgadywać na 10Mbit, zacznie zamierać ruch, proces idle zje procesor albo porty zaczną flapować od tak. MikroTik to jeden wielki eksperyment i każda wersja stable jest stable jedynie z nazwy.

    Odpowiedz
  4. Zdzich
    Odpowiedz

Odpowiedz