drohnald
Goto Top

Mikrotik Router-OS Lücke

Hallo zusammen,

nachdem hier viele Mikrotik auch im kleinen oder privaten Umfeld nutzen und vll. nicht immer alle News mitbekommen:
Es gibt eine Lücke im Router-OS mit der sich Admins zum Super-Admin ausbreiten können.
Man muss aber bereits Adminzugang auf das Gerät haben.

https://www.golem.de/news/mikrotik-kritische-sicherheitsluecke-gefaehrde ...

Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.

Gruß
Drohnald

Content-ID: 7956855656

Url: https://administrator.de/knowledge/mikrotik-router-os-luecke-7956855656.html

Ausgedruckt am: 21.12.2024 um 17:12 Uhr

Trommel
Trommel 26.07.2023 aktualisiert um 15:23:00 Uhr
Goto Top
Zitat von @Drohnald:
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.

Außerdem sind wir hier doch alle Super-Admins ! face-wink

Trommel
SeaStorm
SeaStorm 26.07.2023 um 16:45:27 Uhr
Goto Top
und wer hat das zum Internet hin offen ?!
commodity
commodity 27.07.2023 aktualisiert um 13:00:03 Uhr
Goto Top
Danke für die Info.
Die Risikodarstellung in dem Beitrag ist natürlich maßlos übertrieben, schon weil WebFig und WinBox-Zugriffsmöglichkeiten zu "Geräten" addiert wurden. Und wer seinen Zugriff zum Internet öffnet ist eh selbst schuld. Aber natürlich gibt es diese Pappenheimer (die dann auch 123456 als PW verwenden) und schon haben wir dass nächste Botnetz mit vorzüglicher Hardware ausgestattet.

Das hat aber mit der Lücke nichts zu tun, denn um das Gerät zu übernehmen, braucht man ja keinen Super-Admin. Der Admin-Zugriff, den man durch Brute-Force erlangt, reicht ja völlig, um das Teil ins Botnetz zu integrieren. Vorteil der Lücke ist, wenn ich das richtig verstehe, dass man den Zugriff noch perpetuieren und gänzlich verschleiern könnte. In der Theorie müssten also alle Geräte, die Zugriff über WAN gestattet haben und somit brute-forcebar wären, vollständig zurückgesetzt (Netinstall) werden.

Auch der Heise-Artikel ist bemerkenswert schwach. Da klingt es so, als ob die Router bis V6.49 mit den Initial-Zugangsdaten alle erreichbar wären. Dass das nur bis zur Initial-Einrichtung nach dem Kauf gilt - und das Gerät laut und deutlich nach einem guten Passwort schreit wird "vergessen". Ebenso wie der bescheidene Umstand, dass die Geräte in der Initialkonfiguration vom WAN-Port gar nicht erreichbar sind face-big-smile Fachkenntnis vom Gerät kommt auch sonst keine zum Ausdruck. Das braucht in D noch 20 Jahre face-big-smile und bis dahin hat sich Heise endgültig demontiert.
Dieser dortige Kommentar sagt eigentlich alles. Mit dem besonders schönen Satz:
Mikrotik ist halt keine "Luschiplattform".

Viele Grüße, commodity