MikroTik verhelpt kwetsbaarheid waardoor routers zijn over te nemen
MikroTik heeft een kwetsbaarheid verholpen waardoor routers van het bedrijf door een ongeauthenticeerde aanvaller zijn over te nemen. Het beveiligingslek werd vijf maanden geleden al gedemonstreerd tijdens de Pwn2Own-wedstrijd in Toronto en volgens de organisatie meteen gemeld bij MikroTik, maar de routerfabrikant ontkent dit. Via het beveiligingslek kan een aanvaller die zich in hetzelfde netwerk als de router bevindt willekeurige code op het apparaat uitvoeren.
Pwn2Own is een jaarlijks terugkerende wedstrijd georganiseerd door het Zero Day Initiative (ZDI), waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten. De betreffende fabrikant wordt vervolgens over het probleem ingelicht. Het ZDI stelt dat het MikroTik op 9 december 2022 heeft ingelicht over het beveiligingslek, aangeduid als CVE-2023-32154.MikroTik zegt dat het de bugmelding nooit heeft ontvangen. Normaliter maakt het ZDI gerapporteerde kwetsbaarheden na een bepaalde tijd openbaar, ook al heeft de betreffende fabrikant nog geen patches beschikbaar gemaakt. Het bedrijf vroeg MikroTik op 9 mei om een update over de stand van zaken en stuurde een dag later op verzoek van de routerfabrikant de bugmelding nogmaals op.
Tevens stelde het ZDI dat het de details van de kwetsbaarheid op 17 mei openbaar zou maken. In een blogposting stelt MikroTik dat het probleem alleen speelt in MikroTik RouterOS versie 6.xx en 7.xx en zich alleen voordoet als de IPv6 advertisement receiver functionaliteit is ingeschakeld. Volgens MikroTik wordt de kwetsbare instelling zelden gebruikt. Als oplossing kunnen IPv6 advertisements worden uitgeschakeld of kan er worden geüpdatet naar een nieuwere versie van RouterOS, het besturingssysteem dat op MikroTik-routers draait.
https://blog.mikrotik.com/, is the blog still valid place for security updates? (where to follow, rss still enabled, or are there better places to get notifications, if something goes wrong?)
Yes. There have been no security incidents lately, this is why there is nothing new there.
Er gaat dus meer mis binnen Mikrotik zo te zien.
Bron: https://forum.mikrotik.com/viewtopic.php?p=1003467#p1002695
https://blog.mikrotik.com/, is the blog still valid place for security updates? (where to follow, rss still enabled, or are there better places to get notifications, if something goes wrong?)
Yes. There have been no security incidents lately, this is why there is nothing new there.
Er gaat dus meer mis binnen Mikrotik zo te zien.
Op 23 mei is daar wel een nieuwe entry verschenen.
En wat bedoel je met "er gaat meer mis"? Wat is er volgens jou allemaal mis gegaan? Dat ze die bugmelding niet
hebben ontvangen? Kan toch ook zijn dat die niet goed verzonden is?
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Nou volgens mij zijn er niet erg veel bedrijven die in dagen reageren op ongevraagde adviezen, zeker als er zo veel
tik/taal fouten in zitten...
Vergeet ook niet dat "onderzoekers" vaak zelf definieren door welke hoepels de ontvanger van hun berichten moet springen,
dat begint al met allerelei idioterie met encrypted mails enzo.
Als je dat soort dingen doet moet je natuurlijk niet raar kijken als je berichten niet altijd aankomen of gelezen kunnen worden.
Stuur dan een brief.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Nergens is geschreven dat de fix niet snel kwam nadat Mikrotik nog eens met de neus erop gedrukt werd. Nog zeven dagen voordat er een publicatie zou plaatsvinden.
Het gaat mij om het proces, niet om de knikkers.
Ach de lijst water allemaal is misgegaan is erg erg lang. Communicatie is helaas geen sterk punt van Mikrotik en inzicht krijgen al helemaal niet.
Ik geeft ongevraagd als lang advies en het is dan jaren wachten opdat zij dat in praktijk brengen. Je moet bij Mikrotik in jaren denken i.p.v. dagen.
Nou volgens mij zijn er niet erg veel bedrijven die in dagen reageren op ongevraagde adviezen, zeker als er zo veel
tik/taal fouten in zitten...
Vergeet ook niet dat "onderzoekers" vaak zelf definieren door welke hoepels de ontvanger van hun berichten moet springen,
dat begint al met allerelei idioterie met encrypted mails enzo.
Als je dat soort dingen doet moet je natuurlijk niet raar kijken als je berichten niet altijd aankomen of gelezen kunnen worden.
Stuur dan een brief.
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
Mikrotik handelt ook normale e-mails af. Alleen is hun responsible disclosure ergens begraven in de support pagina waar je het niet zou zoeken. Mijn advies is, ook een link naar de betreffende pagina te plaatsen in de bedrijfsinformatie pagina waar ook de e-mail link staat naar support.
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.
Zo ontstaat er geen zwart gat zoals nu en nu is het nog aan Mikrotik gelegen of zij een e-mail terugzenden.
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
Als je denkt van niet dan heb je er niet veel van gesnapt...
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.
Ja jij weet precies hoe je een bedrijf moet runnen, maar laat ik je vertellen dat als je een bericht over een mogelijk
lek gewoon aan support stuurt of als ticket aanmaakt, je AANMERKELIJK meer kans hebt dat het ontvangen, gelezen
en begrepen wordt dan als je door al die idiote "responsible disclosure" hoepels gaat springen die dat onderzoekers
clubje bedacht heeft!
En dat geldt niet specifiek voor MikroTik, dat geldt voor vrijwel alle bedrijven.
Met duidelijke communicatie bereik je nou eenmaal meer dan met rooksignalen.
Maakt dat uit als er tik/taal fouten in zitten. De boodschap is hier immers belangrijker dan de stijl.
Als je denkt van niet dan heb je er niet veel van gesnapt...
Tweede advies alle e-mails die onder responsible disclosure vallen altijd te bevestigen en ook altijd hun bevindingen te zenden aan de zender.
Ja jij weet precies hoe je een bedrijf moet runnen, maar laat ik je vertellen dat als je een bericht over een mogelijk
lek gewoon aan support stuurt of als ticket aanmaakt, je AANMERKELIJK meer kans hebt dat het ontvangen, gelezen
en begrepen wordt dan als je door al die idiote "responsible disclosure" hoepels gaat springen die dat onderzoekers
clubje bedacht heeft!
En dat geldt niet specifiek voor MikroTik, dat geldt voor vrijwel alle bedrijven.
Met duidelijke communicatie bereik je nou eenmaal meer dan met rooksignalen.
Als ik jou was zou ik eens op de site van Mikrotik gaan kijken hoe het werkt en wat niet. Zij hebben zelf het 'zwarte gat' geschapen. Als de melding niet aan alle voorwaarden voldoet dan gaat die prullenbak in...zonder tetugmelding.
Ik ben je moet als bedrijf toch in de handen knijpen dat de melding bij jou gedaan wordt en niet in de verkoop gaat voor criminelen en/of overheden.
ps. melding bij support is ook een reden bij Miktotik om de melding te vernietigen....lees maar na.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.