image

MikroTik verhelpt kwetsbaarheid waardoor routers zijn over te nemen

woensdag 24 mei 2023, 11:18 door Redactie, 9 reacties

MikroTik heeft een kwetsbaarheid verholpen waardoor routers van het bedrijf door een ongeauthenticeerde aanvaller zijn over te nemen. Het beveiligingslek werd vijf maanden geleden al gedemonstreerd tijdens de Pwn2Own-wedstrijd in Toronto en volgens de organisatie meteen gemeld bij MikroTik, maar de routerfabrikant ontkent dit. Via het beveiligingslek kan een aanvaller die zich in hetzelfde netwerk als de router bevindt willekeurige code op het apparaat uitvoeren.

Pwn2Own is een jaarlijks terugkerende wedstrijd georganiseerd door het Zero Day Initiative (ZDI), waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten. De betreffende fabrikant wordt vervolgens over het probleem ingelicht. Het ZDI stelt dat het MikroTik op 9 december 2022 heeft ingelicht over het beveiligingslek, aangeduid als CVE-2023-32154.MikroTik zegt dat het de bugmelding nooit heeft ontvangen. Normaliter maakt het ZDI gerapporteerde kwetsbaarheden na een bepaalde tijd openbaar, ook al heeft de betreffende fabrikant nog geen patches beschikbaar gemaakt. Het bedrijf vroeg MikroTik op 9 mei om een update over de stand van zaken en stuurde een dag later op verzoek van de routerfabrikant de bugmelding nogmaals op.

Tevens stelde het ZDI dat het de details van de kwetsbaarheid op 17 mei openbaar zou maken. In een blogposting stelt MikroTik dat het probleem alleen speelt in MikroTik RouterOS versie 6.xx en 7.xx en zich alleen voordoet als de IPv6 advertisement receiver functionaliteit is ingeschakeld. Volgens MikroTik wordt de kwetsbare instelling zelden gebruikt. Als oplossing kunnen IPv6 advertisements worden uitgeschakeld of kan er worden geüpdatet naar een nieuwere versie van RouterOS, het besturingssysteem dat op MikroTik-routers draait.

Reacties (9)
24-05-2023, 11:40 door Anoniem
Op 18 mei schreef Mikrotik nog op haar forum,

https://blog.mikrotik.com/, is the blog still valid place for security updates? (where to follow, rss still enabled, or are there better places to get notifications, if something goes wrong?)

Yes. There have been no security incidents lately, this is why there is nothing new there.

Er gaat dus meer mis binnen Mikrotik zo te zien.

Bron: https://forum.mikrotik.com/viewtopic.php?p=1003467#p1002695
24-05-2023, 12:51 door Anoniem
Door Anoniem: Op 18 mei schreef Mikrotik nog op haar forum,

https://blog.mikrotik.com/, is the blog still valid place for security updates? (where to follow, rss still enabled, or are there better places to get notifications, if something goes wrong?)

Yes. There have been no security incidents lately, this is why there is nothing new there.

Er gaat dus meer mis binnen Mikrotik zo te zien.

Op 23 mei is daar wel een nieuwe entry verschenen.
En wat bedoel je met "er gaat meer mis"? Wat is er volgens jou allemaal mis gegaan? Dat ze die bugmelding niet
hebben ontvangen? Kan toch ook zijn dat die niet goed verzonden is?
24-05-2023, 14:38 door Anoniem
9/10 mei navraag, 17 mei publicatie, 18 mei Mikrotik, "niets te zien hier...doorlopen aub".

Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.

Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
24-05-2023, 15:16 door Anoniem

Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.

Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.

Nou volgens mij zijn er niet erg veel bedrijven die in dagen reageren op ongevraagde adviezen, zeker als er zo veel
tik/taal fouten in zitten...
Vergeet ook niet dat "onderzoekers" vaak zelf definieren door welke hoepels de ontvanger van hun berichten moet springen,
dat begint al met allerelei idioterie met encrypted mails enzo.
Als je dat soort dingen doet moet je natuurlijk niet raar kijken als je berichten niet altijd aankomen of gelezen kunnen worden.
Stuur dan een brief.
24-05-2023, 17:16 door Anoniem
Door Anoniem: 9/10 mei navraag, 17 mei publicatie, 18 mei Mikrotik, "niets te zien hier...doorlopen aub".

Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.

Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Ik heb sterk mijn twijfels over wat je probeert aan te geven want die fix is wel in no-time geregeld net zoals al die andere die noodzakelijke waren.
24-05-2023, 19:05 door Anoniem
Door Anoniem:
Door Anoniem: 9/10 mei navraag, 17 mei publicatie, 18 mei Mikrotik, "niets te zien hier...doorlopen aub".

Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.

Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Ik heb sterk mijn twijfels over wat je probeert aan te geven want die fix is wel in no-time geregeld net zoals al die andere die noodzakelijke waren.

Nergens is geschreven dat de fix niet snel kwam nadat Mikrotik nog eens met de neus erop gedrukt werd. Nog zeven dagen voordat er een publicatie zou plaatsvinden.

Het gaat mij om het proces, niet om de knikkers.
24-05-2023, 19:14 door Anoniem
Door Anoniem:

Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.

Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.

Nou volgens mij zijn er niet erg veel bedrijven die in dagen reageren op ongevraagde adviezen, zeker als er zo veel
tik/taal fouten in zitten...
Vergeet ook niet dat "onderzoekers" vaak zelf definieren door welke hoepels de ontvanger van hun berichten moet springen,
dat begint al met allerelei idioterie met encrypted mails enzo.
Als je dat soort dingen doet moet je natuurlijk niet raar kijken als je berichten niet altijd aankomen of gelezen kunnen worden.
Stuur dan een brief.

Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.

Mikrotik handelt ook normale e-mails af. Alleen is hun responsible disclosure ergens begraven in de support pagina waar je het niet zou zoeken. Mijn advies is, ook een link naar de betreffende pagina te plaatsen in de bedrijfsinformatie pagina waar ook de e-mail link staat naar support.
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.

Zo ontstaat er geen zwart gat zoals nu en nu is het nog aan Mikrotik gelegen of zij een e-mail terugzenden.
25-05-2023, 15:24 door Anoniem
Door Anoniem:
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
NATUURLIJK maakt dat uit!
Als je denkt van niet dan heb je er niet veel van gesnapt...

Mikrotik handelt ook normale e-mails af. Alleen is hun responsible disclosure ergens begraven in de support pagina waar je het niet zou zoeken. Mijn advies is, ook een link naar de betreffende pagina te plaatsen in de bedrijfsinformatie pagina waar ook de e-mail link staat naar support.
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.

Ja jij weet precies hoe je een bedrijf moet runnen, maar laat ik je vertellen dat als je een bericht over een mogelijk
lek gewoon aan support stuurt of als ticket aanmaakt, je AANMERKELIJK meer kans hebt dat het ontvangen, gelezen
en begrepen wordt dan als je door al die idiote "responsible disclosure" hoepels gaat springen die dat onderzoekers
clubje bedacht heeft!
En dat geldt niet specifiek voor MikroTik, dat geldt voor vrijwel alle bedrijven.
Met duidelijke communicatie bereik je nou eenmaal meer dan met rooksignalen.
25-05-2023, 17:39 door Anoniem
Door Anoniem:
Door Anoniem:
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
NATUURLIJK maakt dat uit!
Als je denkt van niet dan heb je er niet veel van gesnapt...

Mikrotik handelt ook normale e-mails af. Alleen is hun responsible disclosure ergens begraven in de support pagina waar je het niet zou zoeken. Mijn advies is, ook een link naar de betreffende pagina te plaatsen in de bedrijfsinformatie pagina waar ook de e-mail link staat naar support.
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.

Ja jij weet precies hoe je een bedrijf moet runnen, maar laat ik je vertellen dat als je een bericht over een mogelijk
lek gewoon aan support stuurt of als ticket aanmaakt, je AANMERKELIJK meer kans hebt dat het ontvangen, gelezen
en begrepen wordt dan als je door al die idiote "responsible disclosure" hoepels gaat springen die dat onderzoekers
clubje bedacht heeft!
En dat geldt niet specifiek voor MikroTik, dat geldt voor vrijwel alle bedrijven.
Met duidelijke communicatie bereik je nou eenmaal meer dan met rooksignalen.

Als ik jou was zou ik eens op de site van Mikrotik gaan kijken hoe het werkt en wat niet. Zij hebben zelf het 'zwarte gat' geschapen. Als de melding niet aan alle voorwaarden voldoet dan gaat die prullenbak in...zonder tetugmelding.

Ik ben je moet als bedrijf toch in de handen knijpen dat de melding bij jou gedaan wordt en niet in de verkoop gaat voor criminelen en/of overheden.

ps. melding bij support is ook een reden bij Miktotik om de melding te vernietigen....lees maar na.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.