[GTER] Advisory: Vulnerability exploiting the Winbox port
Lista
lista.gter at gmail.com
Tue Apr 24 18:28:10 -03 2018
Pois é, isto vai ser um limitador mesmo.
Ou seja, a questão é colocar na balança, fico protegido e sem o fast-path
do MK, uma vez que mesmo restringindo via ip services, o serviço vai
responder, agora o que acredito que um firewall seria a melhor solução, e
me arriscaria a perder o fast-path.
Em 24 de abril de 2018 16:33, Fernando Frediani <fhfrediani at gmail.com>
escreveu:
> Olá Silvio
>
> O que quis dizer é que se você utiliza a funcionalidade /ip service set
> winbox ... para restringir as ranges que podem acessar aquele serviço de
> gerência do RouterOS não há necessidade de utilizar também o Firewall do
> RouterOS para bloquear pois se voce utilizar regras de firewall
> automaticamente desativa o Fast-path da caixa que é uma feature importante
> para manter a performance ótima do roteador.
>
> No seu caso isso se resolve com uma VPN ou um Jump Server.
>
> Fernando Frediani
>
>
>
> On 24/04/2018 15:05, Silvio Licht Ahmad wrote:
>
>> Frediane, não entendi "quando usa o IP Services" ?
>>
>> Aqui por exemplo, nestas opção eu mantenho tudo desativado menos Winbox (
>> porém criei regras para somente aceitar acesso interno ou externo de
>> faixas
>> seguras designadas por mim, só que isso é um pouco oneroso, um dia que eu
>> estiver viajando, não poderei acessar de onde quiser ).
>>
>>
>>
>>
>> 2018-04-24 2:02 GMT-03:00 Fernando Frediani <fhfrediani at gmail.com>:
>>
>> Quando usa o /ip services acredito que não precisa utilizar regras de
>>> firewall. Pra quem tem Fast-path ativado não vai perder essa
>>> funcionalidade
>>> bastante importante para performance do roteador.
>>>
>>> Cuidado com regras de bloqueio de forward. Por mais bem intencionadas que
>>> sejam podem facilmente violar o Marco Civil da Internet bloqueando algo
>>> que
>>> seu cliente (seja ele de trânsito ou de banda larga) não deseje que seja
>>> bloqueado.
>>>
>>> Fernando
>>>
>>> On 23/04/2018 11:37, Joao Paulo Saldanha wrote:
>>>
>>> Vamos atentar a segurança:
>>>>
>>>> Fiz algumas regrinhas aqui que podem ajudar aos amigos a protegerem seus
>>>> MIkrotik. A mesma pode ser aplicada a todas RBs./ip firewall
>>>> address-list
>>>>
>>>>
>>>> add address=SEU_PREFIXO_1 list=ACCESSO_WINBOX
>>>>
>>>> add address=SEU_PREFIXO_2 list=ACCESSO_WINBOX
>>>>> add address=100.64.0.0/10 list=ACCESSO_WINBOX
>>>>> add address=192.168.0.0/16 list=ACCESSO_WINBOX
>>>>> add address=172.160.0.0/12 list=ACCESSO_WINBOX
>>>>> add address=10.0.0.0/8 list=ACCESSO_WINBOX
>>>>>
>>>>> /ip firewall filter
>>>>> add action=drop chain=input comment=PROTECAO_WINBOX dst-port=8291
>>>>> protocol=tcp src-address-list=!ACCESSO_WINBOX
>>>>> add action=drop chain=forward comment=PROTECAO_WINBOX dst-port=8291
>>>>> protocol=tcp src-address-list=!ACCESSO_WINBOX
>>>>>
>>>>> /ip firewall filter move [/ip firewall filter find
>>>>> comment=PROTECAO_WINBOX] 0
>>>>>
>>>>> /ip service
>>>>> set winbox address="SEU_PREFIXO_1/21,SEU_PREFIXO_2/22,
>>>>> 100.64.0.0/10,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16"
>>>>>
>>>>>
>>>>> Atentem aos campos SEU_PREFIXO_1, SEU_PREFIXO_2. Coloquem suas faixas
>>>> no
>>>> lugar, caso tenha mais de 2, replique a regra. Se precisarem de
>>>> esclarecimentos podem me chamar.
>>>> Outro detalhe, que estamos bloqueando acesso total a porta default 8291.
>>>> Caso vendam transito, precisaram permitir antes do bloqueio, se não seu
>>>> cliente ficará sem acesso externo aos Winbox dele.
>>>>
>>>> 2018-04-23 9:20 GMT-03:00 Andre Almeida <andre at bnet.com.br>:
>>>>
>>>> https://forum.mikrotik.com/viewtopic.php?f=21&t=133533
>>>>
>>>>> We have discovered a new RouterOS vulnerability affecting all RouterOS
>>>>> versions since v6.29.
>>>>>
>>>>> *How it works*: The vulnerability allowed a special tool to connect to
>>>>> the
>>>>> Winbox port, and request the system user database file.
>>>>>
>>>>> *Versions affected*: 6.29 to 6.43rc3 (included). Updated versions in
>>>>> all
>>>>> release chains coming ASAP.
>>>>>
>>>>> *Am I affected?* Currently there is no sure way to see if you were
>>>>> affected. If your Winbox port is open to untrusted networks, assume
>>>>> that
>>>>> you are affected and upgrade + change password + add firewall. The log
>>>>> may
>>>>> show unsuccessful login attempt, followed by a succefful login attempt
>>>>> from
>>>>> unknown IP addresses.
>>>>>
>>>>> *What do do*: 1) *Firewall* the Winbox port from the public interface,
>>>>> and
>>>>> from untrusted networks. It is best, if you only allow known IP
>>>>> addresses
>>>>> to connect to your router to any services, not just Winbox. We suggest
>>>>> this
>>>>> to become common practice. As an alternative, possibly easier, use the
>>>>> "IP
>>>>> -> Services" menu to specify "*Allowed From*" addresses. Include your
>>>>> LAN,
>>>>> and the public IP that you will be accessing the device from. 2)
>>>>> *Change
>>>>> your passwords. *
>>>>>
>>>>> *What to expect in the coming hours/days*: Updated RouterOS versions
>>>>> coming
>>>>> ASAP. RouterOS user database security will be hardened, and deciphering
>>>>> will no longer be possible in the same manner.
>>>>>
>>>>>
>>>>> Andre
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>> --
>>>>>
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list