[lacnog] New Exploit for MikroTik Router WinBox Vulnerability Gives Full Root Access

Marcelo Araujo maraujo en winex.com.py
Mie Oct 10 17:38:16 -03 2018


Gracias por el Retorno Ivan,

 

Si, tienes razón al decir que no pasa todo el historial y queda como fragmentado el hilo de todo lo que salta el long-term (bugfix) en cada línea.

 

Gracias por los comentarios.

 

Éxitos ¡

 

Atentamente,

 

Marcelo Araújo

maraujo en winex.com.py

Capacitación y Consultoría

Phone: +595 971 369699 (WhatsApp)

Web: www.winex.com.py



 

 

 

De: LACNOG <lacnog-bounces en lacnic.net> En nombre de Ivan Chapero
Enviado el: miércoles, 10 de octubre de 2018 17:00
Para: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
Asunto: Re: [lacnog] New Exploit for MikroTik Router WinBox Vulnerability Gives Full Root Access

 

Marcelo, muy buena explicacion. Sostengo firme que en equipos en produccion lo mejor es mantenerse siempre en la long-term (ex bugfix only), es donde menos sorpresas se tiene upgrade tras upgrade.

 

Ahora hago una observación a sus comentarios, que es un error de documentación que en su momento reporte a MK y por lo visto sigue igual:

1- Como bien menciona:

- las nuevas features se experimentan temprano en la rama Testing

- se incorporan luego algo mas debugueadas la rama Stable

- mientra no se cambie de version primaria la rama Long-term solo realice parches/bugfix. 

 

2- Generalmente en este contexto hay tres versiones en paralelo, ejemplo: 6.4(N).XX = long-term, 6.4(N+1).XX = Stable, 6.4(N+2).XX = Testing.

 

3- El problema que yo veo en el manejo de Changelogs es cuando hacen un salto de version de una rama a la otra, Como sucedió recientemente que la version de la rama Stable 6.42.xx paso a ser Long-term 6.42.9 (saltando la Stable a 6.43.xx y así transitivamente).

 

4- El usuario de la rama Long-term no tiene un changelog unificado de dicha rama de desarrollo en ese caso. Hay un salto de 6.40.9 a 6.42.9, y no se tiene tracking de que fue sucediendo en las versiones intermedias que no formaron parte de la rama Long-term (6.41.xx y <6.42.9), pero que ahora se incorporan todas sus features nuevas acumuladas en la 6.42.xx.

 

Esa info puede estar bastante fragmentada e inconsistente si se repasa los changelog de las otras ramas y vamos haciendo un hilo mental de versiones.

 

Saludos!

 

El mié., 10 oct. 2018 a las 15:20, Marcelo Araujo (<maraujo en winex.com.py <mailto:maraujo en winex.com.py> >) escribió:

Buenas Andrés y Colegas del Foro,

 

Ingreso a colaborar con el hilo,

 

¿si no tenemos en uso la opción de master-port en ninguna interfaz no habría problema no?

 

No, no tendrías problemas. De igual manera, te recomiendo que antes de realizar el upgrade, prepares un Backup, un Export y tener descargada la versión 6.40.8, y en caso de que tengas que volver atrás, lo harías con la herramienta “Netinstall”. Ten presente que el salto de la versión 6.40.x al 6.4x.x posee cambios importantes, que una vez actualizados, esta configuración no servirá para levantar la versión anterior.

 

Tienes 2 opciones de Upgrade, La línea “Stable (ex Current)” y la Línea “Long-Term (ex Bugfix Only)”

 

Generalmente cada vez que se ingresan nuevas características/modificaciones en el SO, estas van en la línea Stable, manteniendo la línea Long-Term sin estas nuevas características/modificaciones. Si ocurren correcciones de bugs las nuevas características/modificaciones solo afectará al Stable y no al Long-Term. De esta manera, el Long-Term, queda menos expuesto a posible bugs de nuevas características/modificaciones por un periodo. Si detectan un bug que afecta a las 2 líneas, ambas serán actualizadas.

 

En resumen, los bug aparecidos este año, atacan el puerto que utiliza el Programa de configuración del RouterOS

Llamado Winbox (8291/TCP).

 

Lo más recomendable, como en cualquier equipo que se encuentra expuesto en internet, es que este puerto/servicio no esté habilitado de forma externa, y se realicen estas configuraciones a través de una VPN previa o alternativas particulares de filtrado de acceso como el uso de un port knocking.

 

En este enlace encontrarás el ChangeLog de todas las líneas:

 

https://mikrotik.com/download/changelogs/long-term-release-tree

 

En mi caso particular, me suelo mantener en la línea Long-Term (ex Bugfix Only) para los equipos en producción.

 

Atentamente,

 

Marcelo Araújo

maraujo en winex.com.py <http://maraujo@winex.com.py> 

Capacitación y Consultoría

Phone: +595 971 369699 (WhatsApp)

Web: www.winex.com.py <http://www.winex.com.py> 



 

 

 

 

De: LACNOG <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net> > En nombre de Andres Villarroel
Enviado el: miércoles, 10 de octubre de 2018 14:25
Para: lacnog en lacnic.net <mailto:lacnog en lacnic.net> 
Asunto: Re: [lacnog] New Exploit for MikroTik Router WinBox Vulnerability Gives Full Root Access

 

Ivan, ¿si no tenemos en uso la opción de master-port en ninguna interfaz no habría problema no?

 

¿Algún otro inconveniente que haya surgido actualizando a esta nueva versión? Estoy corriendo la 6.40.8


 

-- 

Saludos

 

Andrés Villarroel

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog



-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero

--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina









------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20181010/3210776c/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 21146 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20181010/3210776c/attachment-0001.png>


Más información sobre la lista de distribución LACNOG