專家曝出攻擊MikroTik路由器的新方法
MikroTik路由器繼續受到攻擊,由於新的PoC程式碼的適用性,情況正在惡化。
Tenable Research專家發現的新攻擊技術可被遠端攻擊者利用,在存在漏洞的裝置上執行任意程式碼。
Tenable Research的專家於10月7日在DerbyCon上發表了題為“Bug Hunting in RouterOS”的演講,介紹了這項新技術,它利用了一個已知的目錄遍歷漏洞 ofollow,noindex">CVE-2018-14847 。
該漏洞在4月被發現,危險程度為中等,它影響了Winbox,這是MikroTik的RouterOS軟體的管理控制檯。
在過去的幾個月中,執行RouterOS的MikroTik裝置成為惡意程式碼的目標,其中包括對 Chimay-Red 漏洞的利用。
Chimay Red黑客工具利用了2個漏洞,Winbox Any Directory File Read(CVE-2018-14847)和Webfig遠端執行程式碼漏洞。
現在,Tenable Research設計了一種新的攻擊技術,該技術利用相同的CVE-2018-14847漏洞在目標裝置上執行任意程式碼。
Tenable Research釋出的 部落格 介紹說,
漏洞包括CVE-2018-1156 – 經過身份驗證的遠端程式碼執行(RCE) – 以及檔案上傳記憶體耗盡(CVE-2018-1157),www記憶體損壞(CVE-2018-1159)和遞迴解析堆疊耗盡(CVE-2018-1158)。這些漏洞中最關鍵的是經過身份驗證的RCE,這將允許攻擊者獲得完整的系統訪問許可權。所有漏洞均在RouterOS 6.42.3 x86 ISO(釋出日期:05-25-2018)進行了測試。
所有這些漏洞都需要身份驗證(基本上是合法的憑據)。如果在具有預設憑據的路由器上使用授權驗證的RCE漏洞(CVE-2018-1156),則攻擊者可以獲得完整的系統訪問許可權,從而使他們能夠轉移和重新路由流量並獲得對使用該路由器的任何內部系統的訪問許可權。
設計攻擊技術的Tenable研究員Jacob Baines也對攻擊的概念進行了證明,他解釋說在licupgr二進位制檔案的sprintf函式中觸發了堆疊緩衝區溢位。
“licupgr二進位制檔案有一個sprintf,經過身份驗證的使用者可以使用它來觸發堆疊緩衝區溢位。sprintfis用於以下字串:
專家解釋說,
使用者可以控制使用者名稱和密碼字串,經過身份驗證的使用者可以利用它來獲得對底層系統的root訪問許可權。
現在有什麼期待?
MikroTik在8月釋出了RouterOS版本6.40.9,6.42.7和6.43以解決這些漏洞,使用者必須升級他們的裝置並更改預設憑據。
不幸的是,專家們透露,只有大約30%的存在漏洞的調變解調器已打䃼丁,這意味著大約有200,000個路由器是可被黑客入侵的。
好訊息是,目前,專家們並未發現這種技術在野外被開發利用。
Tenable Research總結道,
根據Shodan的分析,全球有數十萬個Mikrotik部署,主要集中在巴西、印度尼西亞、中國、俄羅斯聯邦和印度。截至2018年10月3日,大約35,000 – 40,000臺裝置已顯示更新的修補版本。