找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 18072|回复: 18

[其它] 关于最近闹得比较凶的任意文件访问漏洞

[复制链接]
发表于 2018-10-9 23:46:45 | 显示全部楼层 |阅读模式
虽然已经爆出好几个月了,还是再说一下吧。
存在漏洞的版本从6.29 (release date: 2015/28/05) 到 6.42 (release date 2018/04/20) 。
主要看官方文件更新释放日期。
6.40.8   2018.4.20释放,漏洞已修补。

详细说明:https://n0p.me/winbox-bug-dissection/
利用: https://github.com/BasuCert/WinboxPoC


此次漏洞简单说来,就是可以构建一个特殊数据包通过winbox端口下载ros任意文件。
能下载任意文件(知道路径任意文件都可以下载)当然就能读取user.dat文件,并拿到明文密码,因此这次漏洞影响比较大。


对于不方便升级的环境,添加L7规则禁止下载user.dat文件,可以临时应对.
/ip firewall layer7-protocol
add name=winbox8291 regexp="\\\\x75\\\\x73\\\\x65\\\\x72\\.\\\\x64\\\\x61\\\\x74"
/ip firewall filter
add action=drop chain=input dst-port=8291 layer7-protocol=winbox8291 log=yes protocol=tcp

部分版本L7存在bug无法正常工作

                               
登录/注册后可看大图

出现这种情况就表明该版本L7无法正常工作,立刻升级。

同广播域通过MAC连接进行下载,此L7规则无法阻挡。内网仍然存在风险,可以考虑关闭mac-server.
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes

网友反馈,部分被黑机器被root,导致无法升级
由于能下载任意文件,因此backup备份文件也有被下载的可能,删除之。通过网友提供的被黑样本初步分析,root后置入了后门和端口扫描程序。后门程序禁止了升级以及终端登录。

尽快升级到6.40.8或更高版本才是根本。
windows下自查程序,仅供漏洞检测,勿作非法用途。

                               
登录/注册后可看大图

购买主题 已有 58 人购买  本主题需向作者支付 2 铜板 才能浏览
routeros
发表于 2018-10-9 23:58:19 | 显示全部楼层
尽快升级到6.40.8或更高版本才是根本
routeros
回复

使用道具 举报

发表于 2018-10-10 08:33:27 | 显示全部楼层
我的也中招了,确实导至升级失败,最后还是完全重新安装
routeros
回复

使用道具 举报

发表于 2018-10-11 08:05:24 | 显示全部楼层
中招了 导至升级失败,
最后,你怎么完全重新安装的 ?
routeros
回复

使用道具 举报

发表于 2018-10-11 08:50:36 | 显示全部楼层
本帖最后由 47771885 于 2018-10-11 08:54 编辑
xuxi3201 发表于 2018-10-11 08:05
中招了 导至升级失败,
最后,你怎么完全重新安装的 ?


Netinstall  重装

楼主好久没冒泡 了
routeros
回复

使用道具 举报

发表于 2018-10-11 16:54:46 | 显示全部楼层
X86的呢ros的
routeros
回复

使用道具 举报

发表于 2018-10-11 17:09:15 | 显示全部楼层
x86中招无法升级有什么办法

点评

NETINSTALL  发表于 2018-10-11 23:05
routeros
回复

使用道具 举报

发表于 2018-10-14 10:13:47 | 显示全部楼层
几百块中招,正在研究怎么解决。。估计2个月的时间才能全部解决。
routeros
回复

使用道具 举报

 楼主| 发表于 2018-10-14 12:39:25 来自手机 | 显示全部楼层
不能升级的可pm我,猜测到待进一步验证方法。
routeros
回复

使用道具 举报

发表于 2018-10-15 22:35:30 | 显示全部楼层
感谢楼主,可惜知道晚了,感觉被黑了几个月
routeros
回复

使用道具 举报

发表于 2018-10-20 01:28:25 | 显示全部楼层
我也是前几天进自己的RB951才发现不对劲,感觉被黑有一个多月了。里面还有我的邮箱帐号密码(用来发IP地址给自己的)。进邮箱看过也是有异常登录。现在才完全修复。ROS这漏洞也太大了吧。
routeros
回复

使用道具 举报

发表于 2018-10-25 14:56:45 | 显示全部楼层
感谢分享 今天最终还是netinstall重装到最新版本。。。
routeros
回复

使用道具 举报

发表于 2018-11-6 08:58:03 | 显示全部楼层
被黑了好几个了.
routeros
回复

使用道具 举报

发表于 2018-11-19 18:59:27 | 显示全部楼层
吓得我敢紧去升级了一波
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-3-29 18:50 , Processed in 0.285704 second(s), 9 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表