MikroTik RouterOS中發現了可遠程利用的緩沖區溢出漏洞
責編:mhshi |2018-03-20 15:33:32MikroTik是拉脫維亞的一家供應商,生產全球許多運行基于Linux操作系統的電信公司的路由器。該漏洞被追蹤為CVE-2018-7445,遠程攻擊者可以利用該服務訪問該服務以在系統上執行任意代碼。“在處理NetBIOS會話請求消息時,MikroTik RouterOS SMB服務中發現緩沖區溢出。 訪問該服務的遠程攻擊者可以利用此漏洞并在系統上獲得代碼執行權。“閱讀該公司發布的咨詢。“溢出發生在身份驗證發生之前,因此未經身份驗證的遠程攻擊者有可能利用此漏洞。”
研究人員發布了與MikroTik的x86云托管路由器配合使用的概念驗證代碼證明。核心首先在2018年2月19日向MikroTik報告了這個漏洞.MozroTik計劃在2018年3月1日發布下一個版本的修復程序,并要求Core不要泄露該漏洞的細節。 即使MikroTik無法在2018年截止日期前發布修復程序,Core仍在等待2018年3月12日星期一發布的新版本的發布。如果無法安裝更新,MikroTik建議禁用SMB。幾天前,卡巴斯基實驗室的安全專家宣布已經發現了一個新的復雜的APT組織,該組織從至少2012年起至少已經在雷達中運行。卡巴斯基跟蹤該組織,并確定了它使用的一系列惡意軟件,稱為Slingshot,以 妥協中東和非洲數十萬受害者的系統。
研究人員已經在肯尼亞,也門,阿富汗,利比亞,剛果,約旦,土耳其,伊拉克,蘇丹,索馬里和坦桑尼亞發現了約100名彈弓受害者并發現了其模塊。肯尼亞和也門迄今為止感染人數最多。 大多數受害者是個人而非組織,政府組織數量有限。APT組利用拉脫維亞網絡硬件提供商Mikrotik使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)將間諜軟件放入受害者的計算機中。
攻擊者首先破壞路由器,然后用文件系統中的惡意代碼替換它的一個DDL,當用戶運行Winbox Loader軟件(Mikrotik路由器管理套件)時,該庫將加載到目標計算機內存中。
該DLL文件在受害者的機器上運行,并連接到遠程服務器以下載最終有效負載,即卡巴斯基監控的攻擊中的Slingshot惡意軟件。目前還不清楚Slingshot團伙是否也利用CVE-2018-7445漏洞危害路由器。既然漏洞CVE-2018-7445漏洞的概念證明可用,那么客戶需要將RouterOS升級到版本6.41.3以避免問題。
原文:http://securityaffairs.co/wordpress/70436/hacking/mikrotik-routeros-flaw.html