La Fibre
Datacenter et équipements réseaux => Routeurs => 
MikroTik RouterOS => Discussion démarrée par: Nh3xus le 11 septembre 2021 à 01:43:42
-
Bonjour,
Juste pour info il y a un exploit assez moche qui tourne en ce moment sur les routeurs Mikrotik :
https://www.reddit.com/r/networking/comments/plh3gc/microtikbased_botnet_on_the_rise_being_used_for/ (https://www.reddit.com/r/networking/comments/plh3gc/microtikbased_botnet_on_the_rise_being_used_for/)
-
"en ce moment", Patché depuis 2018 en fait :)
-
"en ce moment", Patché depuis 2018 en fait :)
pas que
(https://blog.qrator.net/app/media/hsto/getpro/habr/upload_files/fef/f04/add/feff04add2f7fb0a2cc0f27708e12d90.png)
-
Non mais faut se renseigner un minimum avant de balancer des bétises aussi :)
La faille exploitée est une 0day sur les versions 6.45 et inférieures, mais si un routeur est mis à jour en ayant été infecté/backdooré, il pourra encore servir de vecteur d'attaque.
Et la BDD des mots de passe était en clair sur cette version, ce qui a permis aux attaquants de se faire un dictionnaire d'user/pw très efficace pour contaminer de nouveaux routeurs grâce aux ISP/Intégrateurs qui mettent le même MDP partout.
https://forum.mikrotik.com/viewtopic.php?f=21&t=178417
-
Non mais faut se renseigner un minimum avant de balancer des bétises aussi :)
La faille exploitée est une 0day sur les versions 6.45 et inférieures, mais si un routeur est mis à jour en ayant été infecté/backdooré, il pourra encore servir de vecteur d'attaque.
Et la BDD des mots de passe était en clair sur cette version, ce qui a permis aux attaquants de se faire un dictionnaire d'user/pw très efficace pour contaminer de nouveaux routeurs grâce aux ISP/Intégrateurs qui mettent le même MDP partout.
https://forum.mikrotik.com/viewtopic.php?f=21&t=178417
toute mes confuses, j'étais entrain de lire https://blog.qrator.net/en/meris-botnet-climbing-to-the-record_142/ et n'avais pas encore vu qu'en bas de page il y avait la réponse de mikrotik qui n'a pas le meme ton alarmant que le premier (le premier laissant sous entendre que les versions plus récentes devaient surement etre contaminé via d'autres 0days pas encore connu) alors que mikrotik annonce qu'a leur connaissance se sont surement des routeurs pwned a cause de login/pass qui n'ont pas évolués suite à la première faille, effectivement :-X
edit: et c'est fou de se dire que des équipements réseaux sont régulièrement patché, mais que la politique de password n'a pas changé depuis 2018...
-
Heureusement non, un de mes anciens jobs s'est fait poutrer y'a quelques années, justement parce qu'ils ne mettaient pas a jour les routeurs, ça a été un calvaire pour nettoyer les routeurs :(