[Wien] VULN] Mikrotik RouterOS sshd (ROSSSH) - Remote Preauth Heap Corruption

L. Aaron Kaplan (spam-protected)
Mi Sep 4 11:56:07 CEST 2013 

(es geht um: http://www.exploit-db.com/exploits/28056/)

On Sep 3, 2013, at 9:43 PM, Gottfried Motowidlo <(spam-protected)> wrote:

> Hi Clemens,
> 
> man könnte es vielleicht auch so verkaufen: es ist kein Bug sondern ein "hidden feature"...?
> 
> :-)


Sehe ich nicht so entspannt/witzig und auch im CERT haben wir die betroffenen ISPs des Landes informiert. Warum ist das etwas groesser?

Zusammengefasst: 
Erstens reden wir von wesentlich mehr als einer viertel Million Geraeten weltweit.
Zweitens: das ist auch ein pre-auth remote exploit.


Im Detail:

Da das jetzt public ist, haben wir definitiv kein "hidden feature" sondern schlichtwegs einen (siehe Mail) *remote exploit*, der von jedermann verwendet werden kann. Der exploit code ist de-facto oeffentlich. Der exploit ist in der exploit-db gespeichert. King Cope (bekannt dafuer, dass er sich nicht an die ueblichen Regeln haelt, sondern einfach exploits publiziert) hat den ssh crash wunderbar dokumentiert und somit ist es jetzt nur eine Frage von kurzer Zeit, bis diese Boxen auch wirklich ueberall "getestet" werden. zB von IP Adressen aus Russland oder China.


Betrifft das uns bei FF Wien? Vermutl. eher wenig. Global durchaus mehr.

Wir (Funkfeuer Wien) haben an sich public IPs - keine Ahnung wie viele unserer (Freebone?) Mikrotiks auch eine public IP Adresse haben. Markus, hast du da Infos? Ich schaetze, dass wir eine handvoll Mikrotiks mit public IPs haben. Wie gesagt, wir reden von mehr als einer viertel Million potentiell neuen gehackten Boxen *global*. 
Das ist genug Feuerkraft, um ISPs oder einen IX wegzuballern. Das ist das Problem.


Nachdem ich diese Mail auf oeffentlichen Listen gesehen habe, wird Mikrotik hoffentlich etwas Druck abbekommen, um die rasch Luecke zu schliessen. Leider bedeutet das jetzt nicht, das alle Mikrotiks global upgedatet sind :(


Ein moeglicher Quick fix (fuer uns), waere eine lokale Firewall Regel auf den Mikrotiks zu installieren, um port 22 nur von gewissen IP Adressen aus erreichbar zu machen (unter der Annahme, dass es oeffentlich erreichbare Freebone Mikrotiks gibt, wie zB das eine RB433 auf dem modul Knoten (?)). Das waere  IMHO eine einfache Variante.

Beispiel: in Linux (ssh ist OK aus dem FF Netz): 
  iptables -A INPUT -p tcp -s 193.238.156.0/22 --dport 22 -j ACCEPT; 
  iptables -A INPUT -p tcp -s 78.41.112.0/21 --dport 22 -j ACCEPT; 
  iptables -A INPUT -p tcp --dport 22 -j REJECT; 

Soweit mal meine initiale Einschaetzung dazu.

lg,
a.



> Grüße Gottfried
> 
> -----Ursprüngliche Nachricht-----
> Von: (spam-protected) [mailto:(spam-protected)] Im Auftrag von Clemens Hopfer
> Gesendet: Dienstag, 03. September 2013 21:28
> An: (spam-protected)
> Betreff: Re: [Wien] VULN] Mikrotik RouterOS sshd (ROSSSH) - Remote Preauth Heap Corruption
> 
> Hi,
> 
> das ist soweit ich seh genau der Weg, den Markus verwendet um aus der mikrotik-shell auszubrechen und die Dinger per ssh "aufzumachen". Dazu muss man allerdings bereits ein funktionierendes SSH login haben.
> 

Es gibt *auch* einen remote exploit (pre-auth).

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 203 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20130904/8959f060/attachment.sig>
-------------- nächster Teil --------------
--
Wien mailing list
(spam-protected)
https://lists.funkfeuer.at/mailman/listinfo/wien

Mehr Informationen über die Mailingliste Wien