Auteur Sujet: Botnet basé sur Microtik  (Lu 2577 fois)

0 Membres et 1 Invité sur ce sujet

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
Botnet basé sur Microtik
« le: 11 septembre 2021 à 01:43:42 »
Bonjour,

Juste pour info il y a un exploit assez moche qui tourne en ce moment sur les routeurs Mikrotik :

https://www.reddit.com/r/networking/comments/plh3gc/microtikbased_botnet_on_the_rise_being_used_for/

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Botnet basé sur Microtik
« Réponse #1 le: 11 septembre 2021 à 11:13:39 »
"en ce moment", Patché depuis 2018 en fait :)

e-TE

  • Abonné Free fibre
  • *
  • Messages: 1 145
  • Déville-les-Rouen (76)
Botnet basé sur Microtik
« Réponse #2 le: 11 septembre 2021 à 13:30:06 »
"en ce moment", Patché depuis 2018 en fait :)
pas que

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Botnet basé sur Microtik
« Réponse #3 le: 11 septembre 2021 à 13:31:36 »
Non mais faut se renseigner un minimum avant de balancer des bétises aussi :)

La faille exploitée est une 0day sur les versions 6.45 et inférieures, mais si un routeur est mis à jour en ayant été infecté/backdooré, il pourra encore servir de vecteur d'attaque.

Et la BDD des mots de passe était en clair sur cette version, ce qui a permis aux attaquants de se faire un dictionnaire d'user/pw très efficace pour contaminer de nouveaux routeurs grâce aux ISP/Intégrateurs qui mettent le même MDP partout.

https://forum.mikrotik.com/viewtopic.php?f=21&t=178417

e-TE

  • Abonné Free fibre
  • *
  • Messages: 1 145
  • Déville-les-Rouen (76)
Botnet basé sur Microtik
« Réponse #4 le: 11 septembre 2021 à 13:41:04 »
Non mais faut se renseigner un minimum avant de balancer des bétises aussi :)

La faille exploitée est une 0day sur les versions 6.45 et inférieures, mais si un routeur est mis à jour en ayant été infecté/backdooré, il pourra encore servir de vecteur d'attaque.

Et la BDD des mots de passe était en clair sur cette version, ce qui a permis aux attaquants de se faire un dictionnaire d'user/pw très efficace pour contaminer de nouveaux routeurs grâce aux ISP/Intégrateurs qui mettent le même MDP partout.

https://forum.mikrotik.com/viewtopic.php?f=21&t=178417
toute mes confuses, j'étais entrain de lire https://blog.qrator.net/en/meris-botnet-climbing-to-the-record_142/ et n'avais pas encore vu qu'en bas de page il y avait la réponse de mikrotik qui n'a pas le meme ton alarmant que le premier (le premier laissant sous entendre que les versions plus récentes devaient surement etre contaminé via d'autres 0days pas encore connu) alors que mikrotik annonce qu'a leur connaissance se sont surement des routeurs pwned a cause de login/pass qui n'ont pas évolués suite à la première faille, effectivement  :-X

edit: et c'est fou de se dire que des équipements réseaux sont régulièrement patché, mais que la politique de password n'a pas changé depuis 2018...

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Botnet basé sur Microtik
« Réponse #5 le: 11 septembre 2021 à 13:42:17 »
Heureusement non, un de mes anciens jobs s'est fait poutrer y'a quelques années, justement parce qu'ils ne mettaient pas a jour les routeurs, ça a été un calvaire pour nettoyer les routeurs :(