drohnald
Goto Top

Mikrotik Router-OS Lücke

Hallo zusammen,

nachdem hier viele Mikrotik auch im kleinen oder privaten Umfeld nutzen und vll. nicht immer alle News mitbekommen:
Es gibt eine Lücke im Router-OS mit der sich Admins zum Super-Admin ausbreiten können.
Man muss aber bereits Adminzugang auf das Gerät haben.

https://www.golem.de/news/mikrotik-kritische-sicherheitsluecke-gefaehrde ...

Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.

Gruß
Drohnald

Content-Key: 7956855656

Url: https://administrator.de/contentid/7956855656

Printed on: February 23, 2024 at 06:02 o'clock

Member: Trommel
Trommel Jul 26, 2023 updated at 13:23:00 (UTC)
Goto Top
Zitat von @Drohnald:
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.

Außerdem sind wir hier doch alle Super-Admins ! face-wink

Trommel
Member: SeaStorm
SeaStorm Jul 26, 2023 at 14:45:27 (UTC)
Goto Top
und wer hat das zum Internet hin offen ?!
Member: commodity
commodity Jul 27, 2023 updated at 11:00:03 (UTC)
Goto Top
Danke für die Info.
Die Risikodarstellung in dem Beitrag ist natürlich maßlos übertrieben, schon weil WebFig und WinBox-Zugriffsmöglichkeiten zu "Geräten" addiert wurden. Und wer seinen Zugriff zum Internet öffnet ist eh selbst schuld. Aber natürlich gibt es diese Pappenheimer (die dann auch 123456 als PW verwenden) und schon haben wir dass nächste Botnetz mit vorzüglicher Hardware ausgestattet.

Das hat aber mit der Lücke nichts zu tun, denn um das Gerät zu übernehmen, braucht man ja keinen Super-Admin. Der Admin-Zugriff, den man durch Brute-Force erlangt, reicht ja völlig, um das Teil ins Botnetz zu integrieren. Vorteil der Lücke ist, wenn ich das richtig verstehe, dass man den Zugriff noch perpetuieren und gänzlich verschleiern könnte. In der Theorie müssten also alle Geräte, die Zugriff über WAN gestattet haben und somit brute-forcebar wären, vollständig zurückgesetzt (Netinstall) werden.

Auch der Heise-Artikel ist bemerkenswert schwach. Da klingt es so, als ob die Router bis V6.49 mit den Initial-Zugangsdaten alle erreichbar wären. Dass das nur bis zur Initial-Einrichtung nach dem Kauf gilt - und das Gerät laut und deutlich nach einem guten Passwort schreit wird "vergessen". Ebenso wie der bescheidene Umstand, dass die Geräte in der Initialkonfiguration vom WAN-Port gar nicht erreichbar sind face-big-smile Fachkenntnis vom Gerät kommt auch sonst keine zum Ausdruck. Das braucht in D noch 20 Jahre face-big-smile und bis dahin hat sich Heise endgültig demontiert.
Dieser dortige Kommentar sagt eigentlich alles. Mit dem besonders schönen Satz:
Mikrotik ist halt keine "Luschiplattform".

Viele Grüße, commodity