lordgurke
Goto Top

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Hallo zusammen,

vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche die Router ohne Anmeldedaten gekapert werden konnten (wenn denn der Winbox-Port für den Angreifer erreichbar war).

In der letzten Woche sind wir (Internetanbieter) regelrecht mit Abuse-Meldungen zugeworfen worden, bei denen die Beschwerdeführer entweder Probleme mit Bruteforce-Attacken oder Portscans hatten.
Alle betroffenen Kunden haben gemeinsam: Sie setzen einen Mikrotik-Router ein.
Aufgrund der Tatsache, dass man bei manchen betroffenen Routers das Webinterface aus dem Internet erreichen konnte, weiß ich auch, dass da eine aktuelle Firmware-Version drauf läuft.
Nicht immer die aktuellste Version, aber auf jeden Fall eine, die laut Mikrotik diese vor Monaten entdeckte Sicherherheitslücke nicht hat.

Die Router scheinen dann als SOCKS-Proxy für Bruteforce-Attacken genutzt zu werden, starten aber teilweise auch eigene Portscans durch das Internet.
Der Portscan-Traffic schlägt auf unserer Technik mit TTL 255 auf, was darauf hindeutet, dass irgendein Prozess auf dem Router läuft, der das selbst macht.

Wie die Infektion stattgefunden hat, kann ich nicht sagen. Die betroffenen Kunden sind da meist selbst ahnungslos und haben wenig Interesse, zwecks forensischer Analysen das an diesem Router hängende Netz lange offline zu nehmen. Aus den gesammelten Informationen, die ich so von verschiedensten Seiten jetzt zusammengesetzt habe, scheint es möglicherweise eine Lücke in dem Webinterface zu geben, über die Angreifer möglicherweise eigene PHP-Dateien hochladen und anschließend ausführen können.
Aber die Dateien können auch auf anderen Wegen auf das Gerät gelangt sein.
Es waren auch ein paar Kunden dabei, bei denen der Router zum Internet hin verschlossen war wie eine Auster (zumindest hat nmap keinen offenen Port gefunden - aber vielleicht war der offene Port auch einfach nicht dabei). Hier könnte eine Infektion möglicherweise auch vom LAN aus durch einen infizierten Client erfolgt sein.

Nach einem Upgrade auf die aktuellste Firmware scheint das Problem zu verschwinden.
Es kann aber auch sein, dass die Kunden dann einfach auch den Router mal bei der Gelegenheit vernünftig gesichert haben face-wink

Falls ihr also Mikrotik-Router administriert, solltet ihr mal ein Auge darauf halten, was die Geräte machen - vielleicht scannen die auch bereits fröhlich durch die Gegend.
Ihr solltet auch mal die Firmware-Version kontrollieren und ggf. upgraden.
Wo die Lücke genau ist und ob es überhaupt eine neue Lücke ist, weiß ich leider wirklich nicht. Ich sehe nur, dass das Abuse-Postfach seit letzte Woche Donnerstag täglich mit zig Abuse-Meldungen gefüllt war, die ausschließlich Nutzer von Mikrotik-Routern betrafen.


P.S.: Für die Portscans schicken die infizierten Router einfach SYN-Pakete an wild gewürfelte IP-Adressen, sie pingen nicht vorher. Nehmt das, ihr Ping-Abschalter! face-wink

Content-Key: 383085

Url: https://administrator.de/contentid/383085

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.08.2018 um 13:35:31 Uhr
Goto Top
Zitat von @LordGurke:

P.S.: Für die Portscans schicken die infizierten Router einfach SYN-Pakete an wild gewürfelte IP-Adressen, sie pingen nicht vorher. Nehmt das, ihr Ping-Abschalter! face-wink

Also beim gefräßigen Plapperkäfer von Traal funktioniert der Trick auf Pings nicht zu reagieren. Man braucht nur ein Handtuch.

lks
Mitglied: colinardo
colinardo 11.08.2018 aktualisiert um 18:11:39 Uhr
Goto Top
Ich sehe das ganze so daß viele einfach vergessen daß es IPv6 gibt. Für die IPv6 Firewall gibt es einen extra Abschnitt den viele unbedarfte Anwender brim Mikrotik einfach übersehen und ihr Kisten zwar via IPv4 dicht sind dann aber über IPv6 offen wie ein Scheunentor sind. So meine Erfahrung bei den Mikrotiks die ich die letzten Monate verarzten musste.
Es wundert mich ehrlich gesagt nicht, zum Großteil sind das zumeist eben Fehlbedienungen gepaart mit Unwissen. Gerade jetzt, wo Gott und die Welt Glasfaser gelegt bekommen, und die Ihre DSL-Router in die Tonne kloppen hängen die plötzlich alle mit dem nackten A. im Netz.
Wer das Webinterface oder sonstige Wartungsports nach draußen öffnet ist selbst schuld.

Grüße Uwe
Mitglied: LordGurke
LordGurke 12.08.2018 um 15:33:35 Uhr
Goto Top
Das mit IPv6 unterschreibe ich so - bei einigen aufgemachten Mikrotiks in unserem Fall kann ich das aber ausschließen. Das waren häufig genug Kunden der Sorte "IPv6 brauchen wir nicht, wollen wir nicht, setzt sich eh nicht durch, also konfigurieren wir es nicht" face-confused

Und das betrifft auch Kunden, die schon seit vielen Jahren Kunde bei uns sind und erst jetzt plötzlich gehacked werden. Deshalb vermute ich, dass es da was neues gibt was Probleme macht oder dass jetzt einfach agressiver eine seit langem bekannte Lücke ausgenutzt wird.