Badacze systemów zabezpieczeń znalezione luki w zabezpieczeniach przepełnienia buforu w MikroTik RouterOS

Computer Security News

Core Security naukowcy odkryli luka związana z przepełnieniem buforu można wykorzystać zdalnie, co wpływa na MikroTik RouterOS w wersjach starszych niż jego ostatnią.

Łotewski dostawcy MikroTik jest znany z produkcji routerów używanych przez wiele firm telekomunikacyjnym uruchomione systemy operacyjne oparte na systemie RouterOS Linux.

Luka w zabezpieczeniach przepełnienia buforu jest śledzona jako CVE-2018-7445, i może być wykorzystana przez zdalnego hakerowi dostęp do usługi wykonanie dowolnego kodu w systemie.

“Przepełnienie buforu został znaleziony w MikroTik RouterOS usługi SMB podczas przetwarzania komunikatów żądań sesji NetBIOS. Zdalnym atakującym dostęp do usługi można wykorzystać tę lukę i uzyskać wykonanie kodu w systemie.” Core Security Doradczy państwa.

“Przepełnienie występuje przed uwierzytelnianie odbywa się, więc jest to możliwe dla nieuwierzytelnionemu zdalnemu użytkownikowi atakującemu wykorzystanie it.”

Eksperci bezpieczeństwa wydany dowód koncepcji kod wykorzystujący lukę, który działa z x86 MikroTik w chmurze Hosted routera.

Pierwszy raz, kiedy Core Security zgłaszane luki MikroTik był 19 lutego tego roku. W tym czasie MikroTik planowane wydanie poprawka na 1 marca 2018 i zapytał Core, aby zachować szczegóły wady w prywatnych.

Nawet jeśli MikroTik nie był w stanie wydać poprawkę szacowany termin, Core Security będzie czekać na wydanie nowej wersji, która miała miejsce na 12 marca 2018. Jeśli instalacja aktualizacji było niemożliwe, MikroTik zasugerował, wyłączenie SMB.

Niestety kilka dni temu, Kaspersky Lab poinformował, że zapiszą się nowe wyrafinowane Grupa APT, który działa od co najmniej 2012. Po obrysowaniu Grupa cyber, Eksperci Kaspersky zidentyfikowane szczep złośliwego oprogramowania o nazwie proca, używane do systemów na Bliskim Wschodzie i Afryce.

Według naukowców APT grupa której uda się wykorzystać luki zero-day (CVE-2007-5633; CVE-2010-1592, CVE-2009-0824.) w routerów używanych przez dostawcę sprzętu łotewski sieci Mikrotik do spadku spyware na komputerach użytkowników.

Hakerzy złamanie zabezpieczeń routera po raz pierwszy, następnie zastąpić jeden z jego DDLs złośliwe z systemu plików i załadować biblioteki w pamięci komputera docelowego, tak szybko, jak ofiara uruchamia oprogramowanie Winbox Loader, pakiet zarządzania dla routerów Mikrotik.

Po tym plik DLL jest uruchamiany na komputerze ofiary i łączy się z serwera zdalnego pobierania końcowego ładunku – malware proca.

Obecnie nie istnieje żadne informacje gang proca ma wykorzystać lukę CVE-2018-7445 do kompromisu routery, chociaż, czy dowód koncepcji wykorzystać dostępne online dla użytkowników, którzy powinni dokonać uaktualnienia do wersji 6.41.3, aby uniknąć zabezpieczeń RouterOS problemy.


Leave a Reply

Your email address will not be published. Required fields are marked *