RouterOS 重要漏洞【注意】

2021-02-20 黑白之道

一個工程師的 MikroTik 說昨天說:「該漏洞允許一個特殊的工具來連接8291管理埠,並得到系統的用戶資料庫文件。」

然後攻擊者會解密在資料庫中找到的用戶詳細信息,並登錄到MikroTik路由器。

在一個捷克技術論壇的用戶,首先發現了這些攻擊,黑客也採用了類似的模式。攻擊者將有兩次失敗的Winbox登錄嘗試,一次成功的登錄,會改變一些服務,註銷並在幾個小時後重新登陸。

所有攻擊都是針對Winbox,MikroTik通過其路由器提供的遠程管理服務,以允許用戶通過網絡或網際網路配置設備。Winbox服務(埠8291)默認與所有MikroTik設備一起啟用。

好消息是現在並沒有大規模的被黑客利用

MikroTik表示零日漏洞影響了自v6.29以來發布的所有RouterOS版本。該公司在今天早些時候發布的RouterOS v6.42.1和v6.43rc4上修補了零日。

華安機房,我們公司有幾個機櫃出口路由用的就是routeros,國內寬帶接入很多都用這個,還有網吧。

我現在還沒打補丁,因為我也是今天才看到的,

做了一些什麼,避免被黑客攻擊呢

1,給默認埠改了,ssh默認22,改了,給www默認80,也改成別的了,8291 也可以改,但改完不知道如何連接(正在研究)

2,先上去給管理員,所有密碼都改了

3,給8901 設置一下白名單,只認證公司的ip能訪問

最後給你看看,我的路由多出什麼東西

反正我是沒做加這個,不知道誰加上去的。大家自己檢查一下吧!

相關焦點

  • DEF CON 27上針對 MikroTik RouterOS 系統漏洞利用的研究
    但是,為什麼要談論漏洞利用漏洞利用開發呢?事實是,這些路由器已經被大量利用。但是,由於很少有關於RouterOS漏洞利用的公開研究。就目的而言,要了解的最重要的事情之一是系統上的所有內容都是一個軟體包。如左圖所示,你可以看到我在hAP上安裝的所有軟體包。甚至標準的Linux-y目錄(例如/ bin /,/ lib /,/ etc /)都來自軟體包。軟體包使用NPK文件格式。Kirils Solovjovs製作了這張圖片,描述了文件格式。
  • CVE-2018-14847:一個能修復自己的RouterOS漏洞
    從Winbox消息中,我們注意到不同指令會發送給不同的目的組件,從JSProxy中我們能夠得知這個目的地位於SYS_TO欄位對應的欄位中。這個欄位是兩個int32組成的數組,第一個數字對應了系統中的一個程序,第二個數字對應了這個程序的第幾個功能。
  • CVE-2018-1158 MikroTik RouterOS漏洞分析之發現CVE-2019-13955
    該漏洞由Tenable的Jacob Baines發現,同時提供了對應的PoC腳本。另外,他的關於RouterOS漏洞挖掘的議題《Bug Hunting in RouterOS》非常不錯,對MikroTik路由器中使用的一些自定義消息格式進行了細緻介紹,同時還提供了很多工具來輔助分析。相關工具、議題以及PoC腳本可在git庫routeros獲取,強烈推薦給對MikroTik設備感興趣的人。
  • MikroTik RouterOS未經認證可繞過防火牆訪問NAT內部網絡(CVE-2019-3924)
    在針對MikroTik進行漏洞研究時,我在RouterOS中發現了一個未公開的漏洞,該漏洞的編號為CVE-2019-3924。該漏洞允許遠程攻擊者在未經身份驗證的情況下通過路由器的Winbox埠代理特製的TCP和UDP請求。該代理請求甚至可以繞過路由器的防火牆,到達LAN主機。
  • MikroTik-RouterOS 相關漏洞 CVE-2019-13954 分析
    該漏洞與CVE-2018-1157類似,是由於對漏洞CVE-2018-1157的修復不完善造成。下面通過搭建MikroTik RouterOS仿真環境,結合漏洞CVE-2018-1157的PoC腳本及補丁,對漏洞CVE-2019-13954進行分析。
  • 深入分析MikroTik RouterOS CVE-2018-14847 & Get bash shell
    前言MikroTik路由器在4月份被發現存在目錄遍歷漏洞CVE-2018-14847,危險程度為中。Tenable Research的專家於10月7日在DerbyCon上發表了題為「Bug Hunting inRouterOS」的演講,介紹了這項新技術,就是利用該漏洞。
  • 有關RouterOS的後滲透研究
    在DEF CON 27大會上,我提出了題為「幫幫我,漏洞!你是我唯一希望」的討論。
  • 注意:GRUB2 BootHole重大漏洞影響數百萬Windows和Linux系統
    由Eclypsium的安全研究人員發現,BootHole漏洞被分配CVE-2020-10713(「GRUB2:精心製作的grub.cfg文件可以導致在引導過程中執行任意代碼」)和CVSS評分高達8.2。這個漏洞可以在引導過程中被利用來獲得任意代碼的執行,即使在啟用了安全引導並且幾乎所有Linux發行版都受到影響時也是如此。
  • 【重要漏洞預警】Petrwrap勒索病毒
    尊敬的百度雲用戶您好,百度雲安全團隊針對Microsoft Windows系列作業系統近期再次爆出多起Petya勒索病毒事件做重要預警
  • WhatsApp用戶注意了!新漏洞出現,請儘快升級你的手機app版本
    就在這幾天的一個新聞,使用WhatsApp的你可要注意了!安全漏洞爆出,小心個人隱私信息洩漏!據路透社報導,此前英國《金融時報》報導稱,WhatsApp存在的一個漏洞可以讓攻擊者將間諜軟體注入手機。但是就在今天,根據《獨立報》的報導,WhatsApp已證實了軟體存在漏洞。
  • Windows用戶注意了,微軟又曝高危漏洞啦!
    近日,微軟官網公布其惡意程序防護引擎存高危安全漏洞(CVE-2017-0290),影響包括MSE、WindowsDefender、
  • 【注意】隱藏了19年的WinRAR代碼執行漏洞被發現
    最近,WinRAR在過去19年中受到各種嚴重安全漏洞的負面影響。根據安全公司Check Point的研究人員披露的詳細信息,Winrar的uncev2.dll中發現了嚴重的安全漏洞,該漏洞自2005年以來一直沒有得到積極更新。此缺陷允許熟練的攻擊者在打開精心編制的文件後執行任何惡意代碼。
  • 谷歌要求立即升級Chrome 88最新版:修復重要安全漏洞
    谷歌在最新版瀏覽器中修復了一個漏洞,並聲稱該漏洞正被廣泛利用
  • Apache Tomcat 修復重要級別的遠程代碼執行漏洞
    編譯:奇安信代碼衛士團隊Apache 軟體基金會修復了影響 Apache Tomcat 的一個遠程代碼執行漏洞,以阻止潛在的遠程攻擊者利用易受攻擊的伺服器並控制受影響系統。這個 RCE漏洞 CVE-2019-0232 能夠允許惡意人員通過利用由 Tomcat CGI Servlet 中出現的輸入驗證錯誤引發的作業系統命令注入,在受害者系統上執行任意命令。而這個輸入驗證錯誤是由「JRE 向 Windows 傳遞命令行形參的過程中出現的一個 bug 導致的」。
  • 注意!近期國內外關注度較高的產品安全漏洞
    遠程攻擊者可通過發送FIRMWAREUPDATE GET請求利用該漏洞造成拒絕服務。 攻擊者可能利用此漏洞在受影響的應用程式上下文中注入和執行任意命令。遠程攻擊者可利用該漏洞以root權限注入作業系統命令。
  • 蘋果用戶注意,iPhone/Mac 曝出 WIFI 高危漏洞!
    新的WiFi漏洞曝光!全球10億臺設備正在受到威脅,包括iPhone、iPad和Mac等蘋果公司生產的設備……這個漏洞能讓附近的攻擊者對設備發送的敏感數據進行解密。最新召開的RSA2020安全大會會上,研究人員首次詳細披露了這個存在於賽普拉斯半導體和博通生產的WiFi晶片上的漏洞,並把它稱為KrØØk。
  • 最新版 Chrome 修復了重要安全漏洞,果斷升級
    ,這是一種可被用於主動攻擊的漏洞,官方建議 macOS,Windows 和 Linux 上的所有 Chrome 用戶儘快更新其安裝。3月1日發布的 Chrome 補丁包含一個安全漏洞修復程序,標識為 CVE-2019-5786。本次更新僅修復了該問題而未對瀏覽器進行其他更改,可見問題相當迫切,最新版本在三個平臺上都已經是 72.0.3626.121。
  • 基於CVE-2018-14847的Mikrotik RouterOS安全事件分析
    CVE-2018-14847,考慮到國內到也有不少用戶在使用Mikrotik路由器,超弦實驗室安全研究人員對於該漏洞與此事件迅速展開了深度跟蹤與分析。二、 漏洞分析與利用    通過修復前後的代碼比對與分析我們發現文件nova/bin/mproxy存在過濾或校驗路徑遍歷問題的不足,即路徑遍歷漏洞,接下來便是針對該類型漏洞的各種測試,輔助Burp Suite等滲透測試工具與RouterOS調試,進行多次構造請求嘗試,抓包分析,通過特殊構造的請求,我們能夠從伺服器上讀取任何想要的文件, 其中就包括存放RouterOS用戶名密碼等信息的文件
  • 【關注】蘋果手機用戶注意了!你的Apple ID很重要!被盜被勒索僅在瞬間發生
    再者,黑客可以與不法分子聯手做生意,前者將漏洞賣或租給需要的後者,由後者去攻擊獲取 Apple ID。需要注意的是,目前黑客仍在找尋各種漏洞,供需要的人利用漏洞持續竊取更多網站的個人信息,並使用相同的登錄信息儘可能的登陸與你相關的帳戶,其中就包括 Apple ID 和所有敏感的信息。
  • @所有手機用戶注意!工信部發布重要提醒!
    工信部立即組織核查處理,用戶手機被盜後未及時掛失電話卡,給不法分子留下了鑽空子的空間,不法分子通過「手機號+驗證碼」弱驗證方式獲取某政務APP中用戶身份證號等個人重要信息,利用用戶個人信息更改了手機服務密碼,利用話術欺騙誘導電信企業客服人員將已掛失的電話卡進行解掛,利用部分網貸平臺「找回用戶密碼」