NetworkFA
March 31st, 2018, 00:23
Hello,
It has come to our attention that a rogue botnet is currently scanning random public IP addresses to find open Winbox (8291) and WWW (80) ports, to exploit a vulnerability in the RouterOS www server that was patched more than a year ago (in RouterOS v6.38.5, march 2017).
Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so within the last year.
More information can be found here: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
Best regards,
MikroTik
Current release chain:
What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;
And also Bugfix release chain:
What's new in 6.37.5 (2017-Mar-09 11:54):
!) www - fixed http server vulnerability;
https://mikrotikfa.com/wp-content/uploads/2017/03/wikileaks.png
بیانیه شرکت میکروتیک در رابطه با اسناد منتشر شده در Wikileaks
همانطور که اطلاع دارید اخیراً اسنادی (Vault 7) در رابطه با راه های نفود CIA در تجهیزات و شبکه های سرتا سر دنیا فاش شده است که در بخشی از آن به ابزاری اشاره می کند که به وسیله آن CIA می تواند ابزاری مخرب را به روتر های میکروتیک تزریق کند. این نفوذ از طریق پورت ۸۰ انجام می شود و با نام ChimayRed شناخته می شود.
همچنین به نظر می رسد این اکسپلویت در نسخه های v6.30.1 به بالا قابل استفاده نمی باشد.
اکیداً توصیه می شود با راهکارهای امنیتی مختلف دسترسی از طریق WAN به روتر را محدود کرده و همیشه به آخرین نسخه میکروتیک روتر خود را بروزرسانی نمایید.
هنوز ابزار و راهکاری برای شناسایی روتر های آلوده به این اکسپلویت ایجاد نشده است ولی می توان با بررسی ترافیک های پورت ۸۰ یا ۸۲۹۱ و… و لاگ گیری از آن ها ترافیک های غیرمعمول را شناسایی و دسترسی را محدود کرد.
طبق توصیه های مسئولین و مدیران انجمن میکروتیک ، هرچه سریعتر روتر هایتان را به ورژن ۶.۳۸.۵ آپدیت کنید تا در صورت وجود فایل آلوده آن فایل پاک شود
What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;
در این ورژن مشکل امنیتی موجود در HTTP Server حل شده
این خبر در 19 اسفند 1395 منتشر شد ولی به تازگی Botnetی در اینترنت درحال اسکن و استفاده از این باگ است
این خطار به حدی جدی است که مدیران میکروتیک ایمیلی برای بروز رسانی عمومی برای کاربران ارسال کرده اند
It has come to our attention that a rogue botnet is currently scanning random public IP addresses to find open Winbox (8291) and WWW (80) ports, to exploit a vulnerability in the RouterOS www server that was patched more than a year ago (in RouterOS v6.38.5, march 2017).
Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so within the last year.
More information can be found here: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
Best regards,
MikroTik
Current release chain:
What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;
And also Bugfix release chain:
What's new in 6.37.5 (2017-Mar-09 11:54):
!) www - fixed http server vulnerability;
https://mikrotikfa.com/wp-content/uploads/2017/03/wikileaks.png
بیانیه شرکت میکروتیک در رابطه با اسناد منتشر شده در Wikileaks
همانطور که اطلاع دارید اخیراً اسنادی (Vault 7) در رابطه با راه های نفود CIA در تجهیزات و شبکه های سرتا سر دنیا فاش شده است که در بخشی از آن به ابزاری اشاره می کند که به وسیله آن CIA می تواند ابزاری مخرب را به روتر های میکروتیک تزریق کند. این نفوذ از طریق پورت ۸۰ انجام می شود و با نام ChimayRed شناخته می شود.
همچنین به نظر می رسد این اکسپلویت در نسخه های v6.30.1 به بالا قابل استفاده نمی باشد.
اکیداً توصیه می شود با راهکارهای امنیتی مختلف دسترسی از طریق WAN به روتر را محدود کرده و همیشه به آخرین نسخه میکروتیک روتر خود را بروزرسانی نمایید.
هنوز ابزار و راهکاری برای شناسایی روتر های آلوده به این اکسپلویت ایجاد نشده است ولی می توان با بررسی ترافیک های پورت ۸۰ یا ۸۲۹۱ و… و لاگ گیری از آن ها ترافیک های غیرمعمول را شناسایی و دسترسی را محدود کرد.
طبق توصیه های مسئولین و مدیران انجمن میکروتیک ، هرچه سریعتر روتر هایتان را به ورژن ۶.۳۸.۵ آپدیت کنید تا در صورت وجود فایل آلوده آن فایل پاک شود
What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;
در این ورژن مشکل امنیتی موجود در HTTP Server حل شده
این خبر در 19 اسفند 1395 منتشر شد ولی به تازگی Botnetی در اینترنت درحال اسکن و استفاده از این باگ است
این خطار به حدی جدی است که مدیران میکروتیک ایمیلی برای بروز رسانی عمومی برای کاربران ارسال کرده اند