Hai sobat Neoters, kali ini kita akan bahas tentang bug pada mikrotik. Bug WinBox (CVE-2018-14847) ini mengakibatkan kita dapat mengakses router setelah mendapatkan username:password dari router melalui proses scan melalui port defautl winbox 8291. Fatal nya disini kita tidak perlu melakukan brute force atau mengacak username dan password melalui wordlist dengan menggunakan sebeah tool dengan sekali klik saja username dan password langsung bisa kita dapatkan.
Versi Mikrotik Berapa Saja yang Rentan?
Semua RouterOS versions dari 2015-05-28 hingga 2018-04-20.
Mikrotik devices running RouterOS versions:
- Longterm: 6.30.1 – 6.40.7
- Stable: 6.29 – 6.42
- Beta: 6.29rc1 – 6.43rc3
Bagaimana Proof of Conceptnya?
Untuk melakukan penetrasi pada bug ini sangat mudah, berikut langkah-langkahnya :
- Download exploitnya dari https://github.com/mrmtwoj/0day-mikrotik
- Jalankan file WinboxExploit.py diikuti denga IP dari mikrotik tersebut
- Done, kita berhasil mendapatkan semua username:password yang terdapat pada mikrotik tersebut
Image Source : https://asciinema.org/a/195140
Bagaimana Cara Mencegahnya?
- Upgrade RouterOS version
- Disable WinBox service pada router.
- Restrict access ke WinBox service ke specific IP-addresses
/ip service set winbox address=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
- Gunakan Filter Rules (ACL) untuk menolak external access ke WinBox service :
/ip firewall filter add chain=input in-interface=wan protocol=tcp dst-port=8291 action=drop
- Batasi akses ke mac-winbox service :
/tool mac-server mac-winbox
Semoga artikel ini dapat membantu dan menambah wawasan, bermanfaat, dan tidak di salah gunakan tentunya. DO WITH YOUR OWN RISK! ^_^