Sena bėda viena nevaikšto: rastas būdas, kaip pilnai užvaldyti „MikroTik" maršrutizatorių - svarbiausi žingsniai, kaip nuo to apsisaugoti (1)
Žinomas „MikroTik” maršrutizatorių pažeidžiamumas yra daug pavojingesnis nei anksčiau manyta.
Pažeidžiamumas, identifikuotas kaip CVE-2018-14847, iš pradžių buvo vertinamas kaip vidutinės grėsmės, tačiau dabar jis turėtų būti vertinamas kaip labai svarbus, nes naujas įsilaužimo būdas, naudojamas pažeidžiamiems „MikroTik" maršrutizatoriams, leidžia užpuolikams nuotoliniu būdu įdiegti kodą paveiktuose įrenginiuose ir gauti „root” teises.
|
Visi šio ciklo įrašai |
|
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Pažeidžiamumas įtakoja „Winbox" - valdymo komponentą, skirtą administratoriams jungtis prie maršrutizatoriaus naudojant internetinę sąsają ir Windows GUI programą, skirtą valdyti „MikroTik" įrenginiams kurie naudoja „RouterOS" programinę įrangą.
Šis pažeidžiamumas leidžia nuotoliniams įsilaužėliams apeiti autentifikavimą ir įrašyti savavališkus failus, pakeisdami prašymą pakeisti vieną baitą, susijusį su seanso ID.
Naujas pažeidžiamumo lygis pakeistas iš vidutinio į kritinį
Tačiau naujasis „Tenable Research" nustatytas atakos būdas išnaudoja tą patį pažeidžiamumą ir dar pažengė žingsniu į priekį toliau.
PoC exploit’as, pavadintas „By the Way", kurį išleido „Tenable Research" Jacob Baines, pirmą kartą naudoja aplanko pažeidžiamumą, kad galėtų vogti administratoriaus prisijungimo duomenis iš vartotojo duomenų bazės failo ir tada įrašo kitą sistemos failą, kad nuotoliniu būdu gautų prieigą prie šakninio valdymo.
Kitaip tariant, naujas išnaudojimas gali leisti neleistiniems užpuolikams paimti „MikroTik" RouterOS sistemą, įdiegti kenkėjiškų programų kintamąjį turinį arba apeiti maršrutizatorių ugniasienės apsaugą.
Ši technologija yra dar vienas saugumo smūgis prieš „MikroTik” maršrutizatorius, kuriuos anksčiau puolė „VPNFilter" kenkėjiška programa ir kuri buvo naudojama prieš keletą mėnesių.
Nauji „MikroTik" maršrutizatorių pažeidžiamumai
Be to, „Tenable Research" taip pat atskleidė papildomus „MikroTik” RouterOS pažeidžiamumus, įskaitant:
- CVE-2018-1156 -A statinio buferio perpildymo trūkumas, kuris gali leisti autentišką nuotolinio kodo vykdymą, leidžiantį užpuolikams pasiekti visišką sistemos prieigą ir prieigą prie bet kokios vidaus sistemos, kuri naudoja maršrutizatorių.
- CVE-2018-1157 -A failų įkėlimo atminties išnaudojimo spraga, leidžianti autentiškam nuotoliniam atakuotojui sugadinti HTTP serverį.
- CVE-2018-1159-A www atmintinės perpildymo klaida, kuri gali sugadinti HTTP serverį greitai pasitvirtinant ir atsijungiant.
- CVE-2018-1158-A rekursyvaus analizuojančio išsekimo problema, kuri gali sugadinti HTTP serverį naudojant JSON rekursinį analizavimą.
Pažeidimai veikia „Mikrotik” RouterOS programinės įrangos versijas iki 6.42.7 ir 6.40.9.
„Tenable Research" pranešė apie problemas „MikroTik" gegužę, o rugpjūčio mėn. bendrovė pažeidžiamumą ištaisė, išleidusi "RouterOS" 6.40.9, 6.42.7 ir 6.43 versijas.
Nors visi pažeidžiamumai buvo pataisyti prieš mėnesį, neseniai „Tenable Research" atlikus nuskaitymą paaiškėjo, kad 70 proc. maršrutizatorių (kurių yra 200 000) yra vis dar pažeidžiami.
Jei turite MikroTik maršrutizatorių ir nesate atnaujinęs savo RouterOS, tai turėtumėte tai padaryti dabar.
Be to, jei savo maršrutizatoriuje vis dar naudojate numatytuosius prisijungimus, pats laikas pakeisti numatytąjį slaptažodį ir išsaugoti unikalų, ilgalaikį ir sudėtingą slaptažodį.