log login failure da ip nattati

[sincerbex]

buongiorno,
stamattina ho notato dei tentativi di accesso telnet su tutte le antenne da miei ip nattati. da premettere che qualche settimana fa ho fatto dei nat 1 a 1, in realta 1 a subnet nattata. potrebbe essere questo il motivo?allego screen. buona giornata a tutti

[radiation]

Se hai fatto NAT 1:1 hai esposto totalmente il device su internet.

è sempre buona norma restringere i servizi Telnet, FTP, SSH, ecc. O meglio ancora disabilitarli se non utilizzati. Specie se si lasciano con credenziali di default

[sincerbex]

ok, grazie immaginavo. avevo gia delle regole di firewall x l'accesso a tali servizi solo da vpn ma sulle subnet publiche non sulle nattate. adesso ho aggiunto pure le subnet nattate e vanno regolarmente in drop.
mi chiedo pure:
ho circa 900 client di cui la meta su ip pubblici e l'altra metà su ip nattati suddivisi in gruppi di 50 circa. ad ogni gruppo(subnet privata) ho fatto un nat 1:1 e quindi i client che ne fanno parte condividono lo stesso ip pubblico. tecnicamente è corretta questa procedura. grazie ancora

[sincerbex]

ma come fa un ip qualsiasi,random, delle mie subnet a tentare l'accesso telnet su altri miei ip?
mi sta succedendo questo e non ne capisco il motivo.
l'attaccante riesce a mascherare il suo ip col mio?
oppure le cpe sono state infettate??es cpe con versione vecchissime 6.22?

ovviamente sto bloccando tutto da firewall, ma devo capire cosa sta succedendo.
contemporaneamente negli ultimi 2 giorni ho sostituito circa 10 antenne(con ip pubblico) perchè si riavviavano continuamente, pensavo fosse dovuto al maltempo. mezz'ora dopo aver messo antenna nuova in circa 3 clienti e rispuntato il problema. pare che abbia risolto filtrando l'accesso sulla 80 e sulla 8291 delle cpe. IMPORTANTE tutte queste antenne che andavano in reboot loop avevavo la 6.22
e proprio ieri mattina sulla pagina facebook di mikrotik hanno pubblicato un articolo che parla di vulnerabilità sulla 80 e sulla 8291.
potrebbero essere correlati tutti questi eventi?
grazie a tutti per il supporto

[figheras]

Le tue RB sono state hackerate!!Si tratta di un exploit che fa eseguire dei comandi remoti!
Vedi: https://www.exploit-db.com/author/?a=9357
E' capitato anche a me su dei client, stesso sintomo! Ho notato anche che se vai su "ip service" vedrai il servizio www tracciato in rosso e quello è uno dei comportamenti che ti fa capire che l'apparato è stato compromesso. Per risolvere basta aggiornare la RB ad una versione superiore alla 6.38.4. Lascia attivo il servizio www prima di installare il fw perchè dopo l'installazione, routerOS eseguira un controllo di integrità andando a fare un fix del dispositivo hackerato.
Tutte le RB esposte ad internet con versione fino a 6.38.4 sono vulnerabili a questo tipo di attacco pertanto ti consiglio di metterle subito ai ripari!