Kurze Information an Leute, die Mikrotik-Router im Unternehmensumgebungen einsetzen (im Home-Umfeld dürften die Router eher seltener in Gebrauch sein). In Router OS wurde gerade eine Sicherheitslücke im Winbox-Port entdeckt.
Mikrotik ist ein Anbieter aus Lettland, der Router anbietet. Nach meinen Gefühl ist der Anbieter im Firmenumfeld ganz gut im Einsatz. Im Mikrotik-Forum hat man heute das Security Advisory Vulnerability exploiting the Winbox port veröffentlicht.
Schwachstelle ermöglicht Nutzerdatenbank anzufordern
Es wurde vom Hersteller eine neue RouterOS-Schwachstelle entdeckt, die alle RouterOS-Versionen seit v6.29 bis zur Version 6.43rc3 betrifft. Die Sicherheitslücke erlaubte es einem speziellen Tool, sich mit dem Winbox-Port zu verbinden und die Datenbankdatei des Systembenutzers anzufordern.
Welche Version sind betroffen?
Betroffene Versionen sind die 6.29 bis 6.43rc3 (enthalten). Aktualisierte Versionen für alle unterstützten RouterOS-Versionen sind in Arbeit und sollen so schnell als möglich freigegeben werden.
Was kann ich als Administrator tun?
Derzeit gibt es keinen sicheren Weg, um festzustellen, ob eigene Geräte betroffen waren. Wenn der Winbox-Port eines Geräts für nicht vertrauenswürdige Netzwerke offen ist, ist davon auszugehen, dass man betroffen ist. Das Protokoll der Geräte kann einen erfolglosen Anmeldeversuch anzeigen, gefolgt von einem erfolgreichen Anmeldeversuch von unbekannten IP-Adressen. Der Hersteller empfiehlt, das Passwort zu ändern und den Winbox-Port durch eine Firewall abzuschotten. Was tun:
- Den Winbox-Port per Firewall vom Internet und anderen nicht vertrauenswürdigen Netzwerken abschotten.
- Am besten ist es, wenn Sie nur bekannten IP-Adressen erlauben, sich mit Ihrem Router mit beliebigen Diensten zu verbinden, nicht nur mit Winbox.
- Alternativ können Sie über das Menü „IP -> Dienste“ auch „Erlaubte Von“-Adressen angeben. Schließen Sie Ihr LAN und die öffentliche IP ein, von der aus Sie auf das Gerät zugreifen werden.
Ändern Sie danach Ihre Passwörter. Der Hersteller geht davon aus, dass Updates in den kommenden Stunden bereitstehen. Frage: Setzt jemand von euch Mikrotik-Router ein – oder soll ich solche Infos künftig weg lassen? (via)
Ergänzung: Ein Update ist verfügbar – ihr solltet dringend patchen, die Lücke wird aktiv für Angriffe ausgenutzt.
PS: Passt ganz gut hier rein. Laut einer Umfrage, die hier thematisiert wird, haben die meisten Nutzer keinen Plan von Router-Sicherheit. Eine Umfrage unter 2.205 Nutzern ergab, dass die meisten Leute die Router-Firmware nie aktualisieren und auch die Standard-Kennwörter des Herstellers abändern. Die Leute haben auch keinen Plan, wie sie den Router absichern könnten. Ergebnis der Umfrage: Das Problem liegt auf beiden Seiten: Router-Hersteller und Nutzer.
Danke für den beitrag, aber MikroTik ist ein Anbieter aus Lettland, nicht Litauen ;)
Update ist draussen!
Setze Mikrotik Produkte seit einigen Jahren ein, meines Wissens immer noch der einzige Anbieter der SSTP ohne Windows Server bietet ;-)
> Frage: Setzt jemand von euch Mikrotik-Router ein – oder soll ich solche Infos künftig weg lassen?
Also mir hat der Artikel geholfen. Updates von Software bekomme ich noch mit solange die im normalen Update-Mechanismus angeboten werden. Bei allem, wo ich für Sicherheitsupdates selber auf die Suche gehen muss, fehlt mir die Zeit oder die Disziplin. Ich bin dankbar für Hinweise auf schwerwiegende Probleme in irgendwelcher Firmware. Mein MikroTik RB951G-2HnD hätte wahrschein erst in ein paar Monaten bei irgendeiner anderen Aktion vielleicht mal ein Update bekommen. Ob der überhaupt betroffen ist, interessiert mich dabei gar nicht so sehr. Das herauszufinden ist schon aufwändiger, als das Update einfach zu installieren.
Es ist einfach schön, wenn mich jemand darauf aufmerksam macht, dass hier oder dort mal ein Sicherheitsupdate installiert werden sollte, das ich sonst nicht auf dem Schirm hätte.
Ok, danke für das Feedback. Hilft mir bei der Skalierung, welche Themen ich hier im Blog mit einstelle.