Các nhà nghiên cứu an ninh tìm thấy bộ đệm tràn lỗ hổng trong MikroTik RouterOS

Computer Security News

Các nhà nghiên cứu bảo mật cốt lõi đã tìm thấy một lỗ hổng tràn bộ đệm khai thác từ xa ảnh hưởng đến MikroTik RouterOS trong các phiên bản cũ hơn của nó mới nhất.

Các nhà cung cấp Latvia MikroTik được biết đến để sản xuất các bộ định tuyến được sử dụng bởi nhiều công ty dịch vụ công cộng chạy RouterOS Linux dựa trên hệ điều hành.

Các lỗ hổng tràn bộ đệm được theo dõi như CVE-2018 – 7445, và nó có thể được khai thác bởi một hacker từ xa truy cập vào các dịch vụ để thực thi mã tùy ý trên hệ thống.

“Lỗi tràn bộ đệm đã được tìm thấy trong các dịch vụ SMB MikroTik RouterOS khi xử lý tin nhắn yêu cầu phiên NetBIOS. Kẻ tấn công từ xa truy cập vào các dịch vụ có thể khai thác lỗ hổng này và đạt được thực thi mã trên hệ thống.” kỳ tư vấn bảo mật cốt lõi.

“Tràn xảy ra trước khi xác thực diễn ra, do đó, nó có thể cho kẻ tấn công từ xa không được xác thực để khai thác nó”

Các chuyên gia bảo mật phát hành một bằng chứng của khái niệm mã khai thác công trình với MikroTik của x86 bộ định tuyến được lưu trữ đám mây.

Lần đầu tiên khi lõi Security báo cáo lỗ hổng để MikroTik là ngày 19 tháng 2, năm nay. Tại thời điểm đó, MikroTik kế hoạch phát hành một sửa chữa vào ngày 1 tháng 3 năm 2018 và yêu cầu cốt lõi để giữ cho các chi tiết của các lỗ hổng trong tư nhân.

Thậm chí nếu MikroTik đã không thể phát hành một sửa chữa cho thời hạn dự kiến, lõi an ninh sẽ chờ đợi cho phát hành phiên bản mới mà xảy ra vào ngày 12 tháng 3 năm 2018. Nếu cài đặt bản Cập Nhật là không thể, MikroTik gợi ý vô hiệu hóa các SMB.

Thật không may, chỉ là một vài ngày trước, Kaspersky Lab đã báo cáo họ đã đăng ký một nhóm mới tinh vi APT, đã được hoạt động kể từ ít nhất là năm 2012. Sau khi truy tìm nhóm mạng, các chuyên gia Kaspersky xác định một căng thẳng của phần mềm độc hại được gọi là súng cao su, được sử dụng để thỏa hiệp hệ thống tại Trung Đông và châu Phi.

Theo các nhà nghiên cứu, nhóm APT khai thác lỗ hổng zero-day (CVE-2007-5633; CVE-2010-1592, CVE-2009-0824.) trong các bộ định tuyến được sử dụng bởi các nhà cung cấp phần cứng mạng Latvia Mikrotik để thả một phần mềm gián điệp vào những người sử dụng máy.

Các hacker thỏa hiệp các bộ định tuyến đầu tiên, sau đó thay thế một trong DDLs của nó với một cái hại từ hệ thống tập tin và tải các thư viện trong bộ nhớ máy tính của mục tiêu ngay sau khi nạn nhân chạy phần mềm Winbox bộ nạp, một bộ quản lý cho Mikrotik router.

Sau đó, các tập tin DLL chạy trên máy tính của nạn nhân và kết nối đến một máy chủ từ xa để tải trọng final – phần mềm độc hại súng cao su.

Hiện nay, có là không có thông tin nếu băng đảng súng cao su đã khai thác các lỗ hổng CVE-2018 – 7445 để thỏa hiệp các router, mặc dù, có sẵn một bằng chứng của khái niệm khai thác trực tuyến cho người sử dụng có nên nâng cấp RouterOS lên phiên bản 6.41.3 để tránh an ninh vấn đề.


Leave a Reply

Your email address will not be published. Required fields are marked *