0day Mikrotik Winbox Port 8291 Pada RouterOs V 6.40.x

Hai sobat Neoters, kali ini kita akan bahas tentang bug pada mikrotik. Bug WinBox (CVE-2018-14847)  ini mengakibatkan kita dapat mengakses router setelah mendapatkan username:password dari router melalui proses scan melalui port defautl winbox 8291. Fatal nya disini kita tidak perlu melakukan brute force atau mengacak username dan password melalui wordlist dengan menggunakan sebeah tool dengan sekali klik saja username dan password langsung bisa kita dapatkan.

Versi Mikrotik Berapa Saja yang Rentan?

Semua RouterOS versions dari 2015-05-28 hingga 2018-04-20.

Mikrotik devices running RouterOS versions:

  • Longterm: 6.30.1 – 6.40.7
  • Stable: 6.29 – 6.42
  • Beta: 6.29rc1 – 6.43rc3

 

Bagaimana Proof of Conceptnya?

Untuk melakukan penetrasi pada bug ini sangat mudah, berikut langkah-langkahnya :

  1. Download exploitnya dari https://github.com/mrmtwoj/0day-mikrotik
  2. Jalankan file WinboxExploit.py diikuti denga IP dari mikrotik tersebut
  3. Done, kita berhasil mendapatkan semua username:password yang terdapat pada mikrotik tersebut

 

Image Source : https://asciinema.org/a/195140

 

Bagaimana Cara Mencegahnya?

  1. Upgrade RouterOS version
  1. Disable WinBox service pada router.
  2. Restrict access ke WinBox service ke specific IP-addresses

/ip service set winbox address=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16

  1. Gunakan Filter Rules (ACL) untuk menolak external access ke WinBox service :

/ip firewall filter add chain=input in-interface=wan protocol=tcp dst-port=8291 action=drop

  1. Batasi akses ke mac-winbox service :

/tool mac-server mac-winbox

 

 Semoga artikel ini dapat membantu dan menambah wawasan, bermanfaat, dan tidak di salah gunakan tentunya. DO WITH YOUR OWN RISK! ^_^

Published by Neo Telemetri

Neo Telemetri merupakan salah satu UKM (Unit Kegiatan Mahasiswa) terbesar di Universitas Andalas Padang yang bergerak di bidang IT (Information n Technology)

Leave a Reply

Your email address will not be published. Required fields are marked *

WordPress spam blocked by CleanTalk.