[lacnog] New Exploit for MikroTik Router WinBox Vulnerability Gives Full Root Access

Ivan Chapero info en ivanchapero.com.ar
Mie Oct 10 16:59:49 -03 2018


Marcelo, muy buena explicacion. Sostengo firme que en equipos en produccion
lo mejor es mantenerse siempre en la long-term (ex bugfix only), es donde
menos sorpresas se tiene upgrade tras upgrade.

Ahora hago una observación a sus comentarios, que es un error de
documentación que en su momento reporte a MK y por lo visto sigue igual:
1- Como bien menciona:
- las nuevas features se experimentan temprano en la rama Testing
- se incorporan luego algo mas debugueadas la rama Stable
- mientra no se cambie de version primaria la rama Long-term solo realice
parches/bugfix.

2- Generalmente en este contexto hay tres versiones en paralelo, ejemplo:
6.4(N).XX = long-term, 6.4(N+1).XX = Stable, 6.4(N+2).XX = Testing.

3- El problema que yo veo en el manejo de Changelogs es cuando hacen un
salto de version de una rama a la otra, Como sucedió recientemente que la
version de la rama Stable 6.42.xx paso a ser Long-term 6.42.9 (saltando la
Stable a 6.43.xx y así transitivamente).

4- El usuario de la rama Long-term no tiene un changelog unificado de dicha
rama de desarrollo en ese caso. Hay un salto de 6.40.9 a 6.42.9, y no se
tiene tracking de que fue sucediendo en las versiones intermedias que no
formaron parte de la rama Long-term (6.41.xx y <6.42.9), pero que ahora se
incorporan todas sus features nuevas acumuladas en la 6.42.xx.

Esa info puede estar bastante fragmentada e inconsistente si se repasa los
changelog de las otras ramas y vamos haciendo un hilo mental de versiones.

Saludos!

El mié., 10 oct. 2018 a las 15:20, Marcelo Araujo (<maraujo en winex.com.py>)
escribió:

> Buenas Andrés y Colegas del Foro,
>
>
>
> Ingreso a colaborar con el hilo,
>
>
>
> ¿si no tenemos en uso la opción de master-port en ninguna interfaz no
> habría problema no?
>
>
>
> No, no tendrías problemas. De igual manera, te recomiendo que antes de
> realizar el upgrade, prepares un Backup, un Export y tener descargada la
> versión 6.40.8, y en caso de que tengas que volver atrás, lo harías con la
> herramienta “Netinstall”. Ten presente que el salto de la versión 6.40.x al
> 6.4x.x posee cambios importantes, que una vez actualizados, esta
> configuración no servirá para levantar la versión anterior.
>
>
>
> Tienes 2 opciones de Upgrade, La línea “Stable (ex Current)” y la Línea
> “Long-Term (ex Bugfix Only)”
>
>
>
> Generalmente cada vez que se ingresan nuevas
> características/modificaciones en el SO, estas van en la línea Stable,
> manteniendo la línea Long-Term sin estas nuevas
> características/modificaciones. Si ocurren correcciones de bugs las nuevas
> características/modificaciones solo afectará al Stable y no al Long-Term.
> De esta manera, el Long-Term, queda menos expuesto a posible bugs de nuevas
> características/modificaciones por un periodo. Si detectan un bug que
> afecta a las 2 líneas, ambas serán actualizadas.
>
>
>
> En resumen, los bug aparecidos este año, atacan el puerto que utiliza el
> Programa de configuración del RouterOS
>
> Llamado Winbox (8291/TCP).
>
>
>
> Lo más recomendable, como en cualquier equipo que se encuentra expuesto en
> internet, es que este puerto/servicio no esté habilitado de forma externa,
> y se realicen estas configuraciones a través de una VPN previa o
> alternativas particulares de filtrado de acceso como el uso de un *port
> knocking*.
>
>
>
> En este enlace encontrarás el ChangeLog de todas las líneas:
>
>
>
> https://mikrotik.com/download/changelogs/long-term-release-tree
>
>
>
> En mi caso particular, me suelo mantener en la línea Long-Term (ex Bugfix
> Only) para los equipos en producción.
>
>
>
> Atentamente,
>
>
>
> *Marcelo Araújo*
>
> maraujo en winex.com.py
>
> *Capacitación y Consultoría*
>
> *Phone:* +595 971 369699 (WhatsApp)
>
> *Web*: www.winex.com.py
>
> [image: firmafinal1]
>
>
>
>
>
>
>
>
>
> *De:* LACNOG <lacnog-bounces en lacnic.net> *En nombre de *Andres Villarroel
> *Enviado el:* miércoles, 10 de octubre de 2018 14:25
> *Para:* lacnog en lacnic.net
> *Asunto:* Re: [lacnog] New Exploit for MikroTik Router WinBox
> Vulnerability Gives Full Root Access
>
>
>
> Ivan, ¿si no tenemos en uso la opción de master-port en ninguna interfaz
> no habría problema no?
>
>
>
> ¿Algún otro inconveniente que haya surgido actualizando a esta nueva
> versión? Estoy corriendo la 6.40.8
>
>
>
> --
>
> Saludos
>
>
>
> Andrés Villarroel
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>


-- 

*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20181010/3474a414/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 21146 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20181010/3474a414/attachment-0002.png>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 21146 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20181010/3474a414/attachment-0003.png>


Más información sobre la lista de distribución LACNOG