3
Mikrotik Router-OS Lücke
Hallo zusammen,
nachdem hier viele Mikrotik auch im kleinen oder privaten Umfeld nutzen und vll. nicht immer alle News mitbekommen:
Es gibt eine Lücke im Router-OS mit der sich Admins zum Super-Admin ausbreiten können.
Man muss aber bereits Adminzugang auf das Gerät haben.
https://www.golem.de/news/mikrotik-kritische-sicherheitsluecke-gefaehrde ...
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Gruß
Drohnald
nachdem hier viele Mikrotik auch im kleinen oder privaten Umfeld nutzen und vll. nicht immer alle News mitbekommen:
Es gibt eine Lücke im Router-OS mit der sich Admins zum Super-Admin ausbreiten können.
Man muss aber bereits Adminzugang auf das Gerät haben.
https://www.golem.de/news/mikrotik-kritische-sicherheitsluecke-gefaehrde ...
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Gruß
Drohnald
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7956855656
Url: https://administrator.de/contentid/7956855656
Printed on: May 1, 2024 at 02:05 o'clock
3 Comments
Latest comment
Zitat von @Drohnald:
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Außerdem sind wir hier doch alle Super-Admins !
Trommel
2
und wer hat das zum Internet hin offen ?!
Danke für die Info.
Die Risikodarstellung in dem Beitrag ist natürlich maßlos übertrieben, schon weil WebFig und WinBox-Zugriffsmöglichkeiten zu "Geräten" addiert wurden. Und wer seinen Zugriff zum Internet öffnet ist eh selbst schuld. Aber natürlich gibt es diese Pappenheimer (die dann auch 123456 als PW verwenden) und schon haben wir dass nächste Botnetz mit vorzüglicher Hardware ausgestattet.
Das hat aber mit der Lücke nichts zu tun, denn um das Gerät zu übernehmen, braucht man ja keinen Super-Admin. Der Admin-Zugriff, den man durch Brute-Force erlangt, reicht ja völlig, um das Teil ins Botnetz zu integrieren. Vorteil der Lücke ist, wenn ich das richtig verstehe, dass man den Zugriff noch perpetuieren und gänzlich verschleiern könnte. In der Theorie müssten also alle Geräte, die Zugriff über WAN gestattet haben und somit brute-forcebar wären, vollständig zurückgesetzt (Netinstall) werden.
Auch der Heise-Artikel ist bemerkenswert schwach. Da klingt es so, als ob die Router bis V6.49 mit den Initial-Zugangsdaten alle erreichbar wären. Dass das nur bis zur Initial-Einrichtung nach dem Kauf gilt - und das Gerät laut und deutlich nach einem guten Passwort schreit wird "vergessen". Ebenso wie der bescheidene Umstand, dass die Geräte in der Initialkonfiguration vom WAN-Port gar nicht erreichbar sind
Fachkenntnis vom Gerät kommt auch sonst keine zum Ausdruck. Das braucht in D noch 20 Jahre und bis dahin hat sich Heise endgültig demontiert.
Dieser dortige Kommentar sagt eigentlich alles. Mit dem besonders schönen Satz:
Viele Grüße, commodity
Die Risikodarstellung in dem Beitrag ist natürlich maßlos übertrieben, schon weil WebFig und WinBox-Zugriffsmöglichkeiten zu "Geräten" addiert wurden. Und wer seinen Zugriff zum Internet öffnet ist eh selbst schuld. Aber natürlich gibt es diese Pappenheimer (die dann auch 123456 als PW verwenden) und schon haben wir dass nächste Botnetz mit vorzüglicher Hardware ausgestattet.
Das hat aber mit der Lücke nichts zu tun, denn um das Gerät zu übernehmen, braucht man ja keinen Super-Admin. Der Admin-Zugriff, den man durch Brute-Force erlangt, reicht ja völlig, um das Teil ins Botnetz zu integrieren. Vorteil der Lücke ist, wenn ich das richtig verstehe, dass man den Zugriff noch perpetuieren und gänzlich verschleiern könnte. In der Theorie müssten also alle Geräte, die Zugriff über WAN gestattet haben und somit brute-forcebar wären, vollständig zurückgesetzt (Netinstall) werden.
Auch der Heise-Artikel ist bemerkenswert schwach. Da klingt es so, als ob die Router bis V6.49 mit den Initial-Zugangsdaten alle erreichbar wären. Dass das nur bis zur Initial-Einrichtung nach dem Kauf gilt - und das Gerät laut und deutlich nach einem guten Passwort schreit wird "vergessen". Ebenso wie der bescheidene Umstand, dass die Geräte in der Initialkonfiguration vom WAN-Port gar nicht erreichbar sind
Fachkenntnis vom Gerät kommt auch sonst keine zum Ausdruck. Das braucht in D noch 20 Jahre und bis dahin hat sich Heise endgültig demontiert.Dieser dortige Kommentar sagt eigentlich alles. Mit dem besonders schönen Satz:
Mikrotik ist halt keine "Luschiplattform".
Viele Grüße, commodity
