Säkerhetsforskare hittade buffertöverskridning i MikroTik RouterOS

Computer Security News

Core säkerhetsforskare har hittat en distans exploaterbart buffertöverskridning som påverkar MikroTik RouterOS i versioner äldre än dess senaste.

Lettiska leverantören MikroTik är känd för att producera routrar som används av många telco företag kör RouterOS Linux-baserade operativsystem.

Buffertöverskridning spåras som CVE-2018-7445, och det kan utnyttjas av en remote hacker med tillgång till tjänsten för att köra godtycklig kod i systemet.

”Ett buffertspill hittades i MikroTik RouterOS SMB-tjänsten när bearbetning av NetBIOS session begärandemeddelanden. Angripare med åtkomst till tjänsten kan utnyttja detta säkerhetsproblem och få fjärrkörning av kod på systemet ”. Core Security rådgivande staterna.

”Översvämningen inträffar innan autentisering äger rum, så det är möjligt för en oautentiserad angripare att utnyttja det.”

Säkerhetsexperter släppt ett proof of concept exploit kod som fungerar med Mikrotik’s x86 Cloud Hosted Router.

Första gången när Core Security rapporterade sårbarhet för MikroTik var den 19 februari i år. På den tiden MikroTik planerar att släppa en fix på 1 mars 2018 och frågade Core att hålla detaljerna av felet i privat.

Även om MikroTik inte kunde utfärda en fix för uppskattade tidsfristen, skulle Core Security vänta på lanseringen av den nya versionen som inträffade den 12 mars 2018. Om du installerar uppdateringen var omöjligt, föreslog MikroTik inaktivera SMB.

Tyvärr, bara några dagar sedan, Kaspersky Lab rapporterade de har registrerat en ny sofistikerad APT group som har varit verksamt sedan åtminstone 2012. Efter spårning gruppen cyber, identifierade Kaspersky experter en stam av malware som kallas slangbella, används för att angripa system i Mellanöstern och Afrika.

Enligt forskarna utnyttjade APT group zero-day sårbarheter (CVE-2007-5633; CVE-2010-1592, CVE-2009-0824.) i routrar som används av lettiska nätverk maskinvaruprovidern Mikrotik för att släppa ett spionprogram i användarnas maskiner.

Hackare kompromiss routern först, sedan ersätta en av dess DDLs med en skadlig från fil-systemet och ladda biblioteket i målets datorminne så snart offret körs programvaran Winbox Loader, ett management suite för Mikrotik routrar.

Efter att DLL-filen körs på offrets dator och ansluter till en fjärransluten server att ladda ner den slutliga payload – slangbella malware.

För närvarande finns det ingen information om slangbella gänget har utnyttjat CVE-2018-7445 säkerhetsproblemet för att angripa routrar, dock det finns ett bevis på konceptet utnyttja tillgängliga online för användare som ska uppgradera RouterOS till version 6.41.3 att undvika säkerhet problem.


Leave a Reply

Your email address will not be published. Required fields are marked *