MikroTik verhelpt kwetsbaarheid waardoor routers zijn over te nemen
MikroTik heeft een kwetsbaarheid verholpen waardoor routers van het bedrijf door een ongeauthenticeerde aanvaller zijn over te nemen. Het beveiligingslek werd vijf maanden geleden al gedemonstreerd tijdens de Pwn2Own-wedstrijd in Toronto en volgens de organisatie meteen gemeld bij MikroTik, maar de routerfabrikant ontkent dit. Via het beveiligingslek kan een aanvaller die zich in hetzelfde netwerk als de router bevindt willekeurige code op het apparaat uitvoeren.
Pwn2Own is een jaarlijks terugkerende wedstrijd georganiseerd door het Zero Day Initiative (ZDI), waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten. De betreffende fabrikant wordt vervolgens over het probleem ingelicht. Het ZDI stelt dat het MikroTik op 9 december 2022 heeft ingelicht over het beveiligingslek, aangeduid als CVE-2023-32154.MikroTik zegt dat het de bugmelding nooit heeft ontvangen. Normaliter maakt het ZDI gerapporteerde kwetsbaarheden na een bepaalde tijd openbaar, ook al heeft de betreffende fabrikant nog geen patches beschikbaar gemaakt. Het bedrijf vroeg MikroTik op 9 mei om een update over de stand van zaken en stuurde een dag later op verzoek van de routerfabrikant de bugmelding nogmaals op.
Tevens stelde het ZDI dat het de details van de kwetsbaarheid op 17 mei openbaar zou maken. In een blogposting stelt MikroTik dat het probleem alleen speelt in MikroTik RouterOS versie 6.xx en 7.xx en zich alleen voordoet als de IPv6 advertisement receiver functionaliteit is ingeschakeld. Volgens MikroTik wordt de kwetsbare instelling zelden gebruikt. Als oplossing kunnen IPv6 advertisements worden uitgeschakeld of kan er worden geüpdatet naar een nieuwere versie van RouterOS, het besturingssysteem dat op MikroTik-routers draait.
https://blog.mikrotik.com/, is the blog still valid place for security updates? (where to follow, rss still enabled, or are there better places to get notifications, if something goes wrong?)
Yes. There have been no security incidents lately, this is why there is nothing new there.
Er gaat dus meer mis binnen Mikrotik zo te zien.
Bron: https://forum.mikrotik.com/viewtopic.php?p=1003467#p1002695
https://blog.mikrotik.com/, is the blog still valid place for security updates? (where to follow, rss still enabled, or are there better places to get notifications, if something goes wrong?)
Yes. There have been no security incidents lately, this is why there is nothing new there.
Er gaat dus meer mis binnen Mikrotik zo te zien.
Op 23 mei is daar wel een nieuwe entry verschenen.
En wat bedoel je met "er gaat meer mis"? Wat is er volgens jou allemaal mis gegaan? Dat ze die bugmelding niet
hebben ontvangen? Kan toch ook zijn dat die niet goed verzonden is?
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Nou volgens mij zijn er niet erg veel bedrijven die in dagen reageren op ongevraagde adviezen, zeker als er zo veel
tik/taal fouten in zitten...
Vergeet ook niet dat "onderzoekers" vaak zelf definieren door welke hoepels de ontvanger van hun berichten moet springen,
dat begint al met allerelei idioterie met encrypted mails enzo.
Als je dat soort dingen doet moet je natuurlijk niet raar kijken als je berichten niet altijd aankomen of gelezen kunnen worden.
Stuur dan een brief.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Nergens is geschreven dat de fix niet snel kwam nadat Mikrotik nog eens met de neus erop gedrukt werd. Nog zeven dagen voordat er een publicatie zou plaatsvinden.
Het gaat mij om het proces, niet om de knikkers.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Nou volgens mij zijn er niet erg veel bedrijven die in dagen reageren op ongevraagde adviezen, zeker als er zo veel
tik/taal fouten in zitten...
Vergeet ook niet dat "onderzoekers" vaak zelf definieren door welke hoepels de ontvanger van hun berichten moet springen,
dat begint al met allerelei idioterie met encrypted mails enzo.
Als je dat soort dingen doet moet je natuurlijk niet raar kijken als je berichten niet altijd aankomen of gelezen kunnen worden.
Stuur dan een brief.
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
Mikrotik handelt ook normale e-mails af. Alleen is hun responsible disclosure ergens begraven in de support pagina waar je het niet zou zoeken. Mijn advies is, ook een link naar de betreffende pagina te plaatsen in de bedrijfsinformatie pagina waar ook de e-mail link staat naar support.
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.
Zo ontstaat er geen zwart gat zoals nu en nu is het nog aan Mikrotik gelegen of zij een e-mail terugzenden.
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
Als je denkt van niet dan heb je er niet veel van gesnapt...
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.
Ja jij weet precies hoe je een bedrijf moet runnen, maar laat ik je vertellen dat als je een bericht over een mogelijk
lek gewoon aan support stuurt of als ticket aanmaakt, je AANMERKELIJK meer kans hebt dat het ontvangen, gelezen
en begrepen wordt dan als je door al die idiote "responsible disclosure" hoepels gaat springen die dat onderzoekers
clubje bedacht heeft!
En dat geldt niet specifiek voor MikroTik, dat geldt voor vrijwel alle bedrijven.
Met duidelijke communicatie bereik je nou eenmaal meer dan met rooksignalen.
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
Als je denkt van niet dan heb je er niet veel van gesnapt...
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.
Ja jij weet precies hoe je een bedrijf moet runnen, maar laat ik je vertellen dat als je een bericht over een mogelijk
lek gewoon aan support stuurt of als ticket aanmaakt, je AANMERKELIJK meer kans hebt dat het ontvangen, gelezen
en begrepen wordt dan als je door al die idiote "responsible disclosure" hoepels gaat springen die dat onderzoekers
clubje bedacht heeft!
En dat geldt niet specifiek voor MikroTik, dat geldt voor vrijwel alle bedrijven.
Met duidelijke communicatie bereik je nou eenmaal meer dan met rooksignalen.
Als ik jou was zou ik eens op de site van Mikrotik gaan kijken hoe het werkt en wat niet. Zij hebben zelf het 'zwarte gat' geschapen. Als de melding niet aan alle voorwaarden voldoet dan gaat die prullenbak in...zonder tetugmelding.
Ik ben je moet als bedrijf toch in de handen knijpen dat de melding bij jou gedaan wordt en niet in de verkoop gaat voor criminelen en/of overheden.
ps. melding bij support is ook een reden bij Miktotik om de melding te vernietigen....lees maar na.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
