Mikrotik Router-OS Lücke
Hallo zusammen,
nachdem hier viele Mikrotik auch im kleinen oder privaten Umfeld nutzen und vll. nicht immer alle News mitbekommen:
Es gibt eine Lücke im Router-OS mit der sich Admins zum Super-Admin ausbreiten können.
Man muss aber bereits Adminzugang auf das Gerät haben.
https://www.golem.de/news/mikrotik-kritische-sicherheitsluecke-gefaehrde ...
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Gruß
Drohnald
nachdem hier viele Mikrotik auch im kleinen oder privaten Umfeld nutzen und vll. nicht immer alle News mitbekommen:
Es gibt eine Lücke im Router-OS mit der sich Admins zum Super-Admin ausbreiten können.
Man muss aber bereits Adminzugang auf das Gerät haben.
https://www.golem.de/news/mikrotik-kritische-sicherheitsluecke-gefaehrde ...
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Gruß
Drohnald
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7956855656
Url: https://administrator.de/knowledge/mikrotik-router-os-luecke-7956855656.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
3 Kommentare
Neuester Kommentar
Zitat von @Drohnald:
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Dürfte die Profis hier eher wenig stören (wer arbeitet schon mit dem default-admin und PW?), aber schadet nicht.
Außerdem sind wir hier doch alle Super-Admins !
Trommel
Danke für die Info.
Die Risikodarstellung in dem Beitrag ist natürlich maßlos übertrieben, schon weil WebFig und WinBox-Zugriffsmöglichkeiten zu "Geräten" addiert wurden. Und wer seinen Zugriff zum Internet öffnet ist eh selbst schuld. Aber natürlich gibt es diese Pappenheimer (die dann auch 123456 als PW verwenden) und schon haben wir dass nächste Botnetz mit vorzüglicher Hardware ausgestattet.
Das hat aber mit der Lücke nichts zu tun, denn um das Gerät zu übernehmen, braucht man ja keinen Super-Admin. Der Admin-Zugriff, den man durch Brute-Force erlangt, reicht ja völlig, um das Teil ins Botnetz zu integrieren. Vorteil der Lücke ist, wenn ich das richtig verstehe, dass man den Zugriff noch perpetuieren und gänzlich verschleiern könnte. In der Theorie müssten also alle Geräte, die Zugriff über WAN gestattet haben und somit brute-forcebar wären, vollständig zurückgesetzt (Netinstall) werden.
Auch der Heise-Artikel ist bemerkenswert schwach. Da klingt es so, als ob die Router bis V6.49 mit den Initial-Zugangsdaten alle erreichbar wären. Dass das nur bis zur Initial-Einrichtung nach dem Kauf gilt - und das Gerät laut und deutlich nach einem guten Passwort schreit wird "vergessen". Ebenso wie der bescheidene Umstand, dass die Geräte in der Initialkonfiguration vom WAN-Port gar nicht erreichbar sind Fachkenntnis vom Gerät kommt auch sonst keine zum Ausdruck. Das braucht in D noch 20 Jahre und bis dahin hat sich Heise endgültig demontiert.
Dieser dortige Kommentar sagt eigentlich alles. Mit dem besonders schönen Satz:
Viele Grüße, commodity
Die Risikodarstellung in dem Beitrag ist natürlich maßlos übertrieben, schon weil WebFig und WinBox-Zugriffsmöglichkeiten zu "Geräten" addiert wurden. Und wer seinen Zugriff zum Internet öffnet ist eh selbst schuld. Aber natürlich gibt es diese Pappenheimer (die dann auch 123456 als PW verwenden) und schon haben wir dass nächste Botnetz mit vorzüglicher Hardware ausgestattet.
Das hat aber mit der Lücke nichts zu tun, denn um das Gerät zu übernehmen, braucht man ja keinen Super-Admin. Der Admin-Zugriff, den man durch Brute-Force erlangt, reicht ja völlig, um das Teil ins Botnetz zu integrieren. Vorteil der Lücke ist, wenn ich das richtig verstehe, dass man den Zugriff noch perpetuieren und gänzlich verschleiern könnte. In der Theorie müssten also alle Geräte, die Zugriff über WAN gestattet haben und somit brute-forcebar wären, vollständig zurückgesetzt (Netinstall) werden.
Auch der Heise-Artikel ist bemerkenswert schwach. Da klingt es so, als ob die Router bis V6.49 mit den Initial-Zugangsdaten alle erreichbar wären. Dass das nur bis zur Initial-Einrichtung nach dem Kauf gilt - und das Gerät laut und deutlich nach einem guten Passwort schreit wird "vergessen". Ebenso wie der bescheidene Umstand, dass die Geräte in der Initialkonfiguration vom WAN-Port gar nicht erreichbar sind Fachkenntnis vom Gerät kommt auch sonst keine zum Ausdruck. Das braucht in D noch 20 Jahre und bis dahin hat sich Heise endgültig demontiert.
Dieser dortige Kommentar sagt eigentlich alles. Mit dem besonders schönen Satz:
Mikrotik ist halt keine "Luschiplattform".
Viele Grüße, commodity