关于最近闹得比较凶的任意文件访问漏洞

ksw520 · 发表于 2018-10-9 23:46:45

虽然已经爆出好几个月了，还是再说一下吧。
存在漏洞的版本从6.29 (release date: 2015/28/05) 到 6.42 (release date 2018/04/20) 。
主要看官方文件更新释放日期。
6.40.8 2018.4.20释放，漏洞已修补。

详细说明：https://n0p.me/winbox-bug-dissection/
利用: https://github.com/BasuCert/WinboxPoC

此次漏洞简单说来，就是可以构建一个特殊数据包通过winbox端口下载ros任意文件。
能下载任意文件（知道路径任意文件都可以下载）当然就能读取user.dat文件，并拿到明文密码，因此这次漏洞影响比较大。

对于不方便升级的环境，添加L7规则禁止下载user.dat文件，可以临时应对.
/ip firewall layer7-protocol
add name=winbox8291 regexp="\\\\x75\\\\x73\\\\x65\\\\x72\\.\\\\x64\\\\x61\\\\x74"
/ip firewall filter
add action=drop chain=input dst-port=8291 layer7-protocol=winbox8291 log=yes protocol=tcp

部分版本L7存在bug无法正常工作

登录/注册后可看大图

出现这种情况就表明该版本L7无法正常工作，立刻升级。

同广播域通过MAC连接进行下载，此L7规则无法阻挡。内网仍然存在风险，可以考虑关闭mac-server.
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes

网友反馈，部分被黑机器被root，导致无法升级。
由于能下载任意文件，因此backup备份文件也有被下载的可能，删除之。通过网友提供的被黑样本初步分析，root后置入了后门和端口扫描程序。后门程序禁止了升级以及终端登录。

尽快升级到6.40.8或更高版本才是根本。
windows下自查程序，仅供漏洞检测，勿作非法用途。

登录/注册后可看大图

购买主题 已有 58 人购买 本主题需向作者支付 2 铜板 才能浏览

wfgtuzi · 发表于 2018-10-9 23:58:19

尽快升级到6.40.8或更高版本才是根本

alex911 · 发表于 2018-10-10 08:33:27

我的也中招了，确实导至升级失败，最后还是完全重新安装

xuxi3201 · 发表于 2018-10-11 08:05:24

中招了导至升级失败，
最后，你怎么完全重新安装的？

47771885 · 发表于 2018-10-11 08:50:36

本帖最后由 47771885 于 2018-10-11 08:54 编辑

xuxi3201 发表于 2018-10-11 08:05
中招了导至升级失败，
最后，你怎么完全重新安装的？

Netinstall 重装

楼主好久没冒泡了

koutingshui · 发表于 2018-10-11 16:54:46

X86的呢ros的

koutingshui · 发表于 2018-10-11 17:09:15

x86中招无法升级有什么办法

57068368 · 发表于 2018-10-14 10:13:47

几百块中招，正在研究怎么解决。。估计2个月的时间才能全部解决。

ksw520 · 发表于 2018-10-14 12:39:25

不能升级的可pm我，猜测到待进一步验证方法。

htqt · 发表于 2018-10-15 22:35:30

感谢楼主，可惜知道晚了，感觉被黑了几个月

qkhh · 发表于 2018-10-20 01:28:25

我也是前几天进自己的RB951才发现不对劲，感觉被黑有一个多月了。里面还有我的邮箱帐号密码（用来发IP地址给自己的）。进邮箱看过也是有异常登录。现在才完全修复。ROS这漏洞也太大了吧。

helijohnny · 发表于 2018-10-25 14:56:45

感谢分享今天最终还是netinstall重装到最新版本。。。

qwert1388 · 发表于 2018-10-28 16:28:38

感谢楼主，

hufly · 发表于 2018-11-6 08:58:03

被黑了好几个了.

chenchsha · 发表于 2018-11-19 18:59:27

吓得我敢紧去升级了一波

账号		自动登录	找回密码
密码			注册

ksw520 ksw520 当前离线积分 287 IP卡狗仔卡	发表于 2018-10-9 23:46:45 \| 显示全部楼层 \|阅读模式虽然已经爆出好几个月了，还是再说一下吧。存在漏洞的版本从6.29 (release date: 2015/28/05) 到 6.42 (release date 2018/04/20) 。主要看官方文件更新释放日期。 6.40.8 2018.4.20释放，漏洞已修补。详细说明：https://n0p.me/winbox-bug-dissection/ 利用: https://github.com/BasuCert/WinboxPoC 此次漏洞简单说来，就是可以构建一个特殊数据包通过winbox端口下载ros任意文件。能下载任意文件（知道路径任意文件都可以下载）当然就能读取user.dat文件，并拿到明文密码，因此这次漏洞影响比较大。对于不方便升级的环境，添加L7规则禁止下载user.dat文件，可以临时应对. /ip firewall layer7-protocol add name=winbox8291 regexp="\\\\x75\\\\x73\\\\x65\\\\x72\\.\\\\x64\\\\x61\\\\x74" /ip firewall filter add action=drop chain=input dst-port=8291 layer7-protocol=winbox8291 log=yes protocol=tcp 部分版本L7存在bug无法正常工作登录/注册后可看大图出现这种情况就表明该版本L7无法正常工作，立刻升级。同广播域通过MAC连接进行下载，此L7规则无法阻挡。内网仍然存在风险，可以考虑关闭mac-server. /tool mac-server mac-winbox set [ find default=yes ] disabled=yes 网友反馈，部分被黑机器被root，导致无法升级。由于能下载任意文件，因此backup备份文件也有被下载的可能，删除之。通过网友提供的被黑样本初步分析，root后置入了后门和端口扫描程序。后门程序禁止了升级以及终端登录。尽快升级到6.40.8或更高版本才是根本。 windows下自查程序，仅供漏洞检测，勿作非法用途。登录/注册后可看大图购买主题已有 58 人购买本主题需向作者支付 2 铜板才能浏览
ksw520 ksw520 当前离线积分 287 IP卡狗仔卡	routeros
	回复使用道具举报提升卡置顶卡沉默卡喧嚣卡变色卡显身卡

[其它] 关于最近闹得比较凶的任意文件访问漏洞

点评