[cmNOG] MikroTik: URGENT security advisory

Sylvain BAYA abscoco at gmail.com
Mar 14 Aou 09:18:17 UTC 2018


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
 
Ch.er.ère.s cmNOG-istes,

Le dim. 5 août 2018 2:40 PM, PATRICK KOUOBOU <patrickouobou at gmail.com
<mailto:patrickouobou at gmail.com>> a écrit :

    FYI.


Merci Patrick,
Même si je peux confirmer que le courriel est arrivé dans les boîtes de
messagerie de ce.ux.lles, des utilisat.eur.rice.s|exploitant.e.s, qui
sont sur la liste de Mikrotik, j'ai bien des inquiétudes en regard avec
la note ci-dessous ; quant à l'exécution de ces consignes ; en bout de
chaîne. D'autant plus que Mikrotik reconnaît ainsi tout le sérieux du
problème que pose le déploiement des mise à jour (MàJ) dans les routeurs
des utilisat.eur.rice.s|exploitant.e.s...

C'est pourquoi, en lisant les instructions du wiki [1], je me demande
pourquoi certains de ces paramètres 'recommandés' ne sont pas, tout
simplement, introduits dans la configuration par défaut ?

Je pense à :
* la désactivation des services non sécurisés ou non forcément utilisés
(telnet, ftp, www, dns cache, bandwidth server, network discovery...)
d'une part ; et pour
* IPv6 et je comprends mieux pourquoi je n'ai pas entendu parler d'IPv6
pendant tout le MuM de Yaoundé (avec près de 1000 participants :-/),
vraiment Mikrotik humm : désactiver IPv6 par défaut en disant que le
module n'est pas prêt (après 22 ans d'existence de ce protocole :-|).
Quelle #IPv6Excuses [2] :'-(
* ...

...ils disent juste ce qu'il faut faire, côté utilisat.eur.rice, comme
s'il n'y avait plus rien à faire côté constructeur :-/

Est-ce que la Communauté locale|globale Mikrotik et l'entreprise vont se
contenter de cette démarche qui n'avait déjà pas marché et qui ressemble
à quelque chose du genre : cette menace ne franchira certainement pas la
fibre optique sous marine, et puis chacun est responsable de son
routeur...nous on a déjà released :'-(

...pendant qu'on y est, ceci [3] me rappelle que les routeurs des
modèles BM626, de Huaweï sont toujours en services, chez les abonnés de
certains de nos gros opérateurs, avec leurs failles sécuritaires [3]
impossibles à upgrader; à cause de la fin du support ; depuis bien avant
leur exploitation au 237... :'-(
__
[1]: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
[2]: http://ipv6excuses.com
[3]: ...pas la même chose, c'est sûr ->
https://lists.cmnog.cm/pipermail/cmnog/2018-August/001062.html
[4]: https://pierrekim.github.io/advisories/2015-huawei-0x01.txt

Cordialement,
- --sb.
__
http://www.chretiennement.org



    Le dim. 5 août 2018 à 14:20, MikroTik <no-reply at mikrotik.com
<mailto:no-reply at mikrotik.com>> a écrit :

        Hello,

        It has come to our attention that a rogue botnet is currently
using a vulnerability in the RouterOS Winbox service, that was patched
in RouterOS v6.42.1 in April 23, 2018.

        Since all RouterOS devices offer free upgrades with just two
clicks, we urge you to upgrade your devices with the "Check for updates"
button, if you haven't done so already.

        Steps to be taken:

        - Upgrade RouterOS to the latest release
        - Change your password after upgrading
        - Restore your configuration and inspect it for unknown settings
        - Implement a good firewall according to the article here:

        https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

        All versions from 6.29 (release date: 2015/28/05) to 6.42
(release date 2018/04/20) are vulnerable. Is your device affected? If
you have open Winbox access to untrusted networks and are running one of
the affected versions: yes, you could be affected. Follow advice above.
If Winbox is not available to internet, you might be safe, but upgrade
still recommended.

        More information about the issue can be found here:
https://blog.mikrotik.com

        Best regards,
        MikroTik

        [...]




- -- 

Regards,
Sylvain B.
__
Website : https://www.cmnog.cm <https://www.cmnog.cm/>
Wiki : https://www.cmnog.cm/dokuwiki
Surveys : https://survey.cmnog.cm <https://survey.cmnog.cm/>
Subscribe to Mailing List : https://lists.cmnog.cm/mailman/listinfo/cmnog/
Mailing List's Archives : https://lists.cmnog.cm/pipermail/cmnog/
Last Event's Feed : https://twitter.com/#cmNOGlab3
https://twitter.com/cmN0G |
https://facebook.com/cmNOG
https://twitter.com/#REBOOTcmNOG
https://twitter.com/#cmNOG
https://cmnog.wordpress.com/




-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
 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=1ldO
-----END PGP SIGNATURE-----

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.cmnog.cm/pipermail/cmnog/attachments/20180814/62d2cb86/attachment.html>


Plus d'informations sur la liste de diffusion cmNOG