%e6%bc%8f%e6%b4%9e

MikroTik RouterOS 中发现了可远程利用的缓冲区溢出漏洞

  • 浏览次数 7558
  • 喜欢 0
  • 评分 12345

MikroTik 是拉脱维亚的一家供应商,生产全球许多运行基于 Linux 操作系统的电信公司的路由器。该漏洞被追踪为 CVE-2018-7445,远程攻击者可以利用该服务访问该服务以在系统上执行任意代码。“在处理 NetBIOS 会话请求消息时,MikroTik RouterOS SMB 服务中发现缓冲区溢出。 访问该服务的远程攻击者可以利用此漏洞并在系统上获得代码执行权。“阅读该公司发布的咨询。“溢出发生在身份验证发生之前,因此未经身份验证的远程攻击者有可能利用此漏洞。”

研究人员发布了与 MikroTik 的 x86 云托管路由器配合使用的概念验证代码证明。核心首先在 2018 年 2 月 19 日向 MikroTik 报告了这个漏洞 . MozroTik 计划在 2018 年 3 月 1 日发布下一个版本的修复程序,并要求 Core 不要泄露该漏洞的细节。 即使 MikroTik 无法在 2018 年截止日期前发布修复程序,Core 仍在等待 2018 年 3 月 12 日星期一发布的新版本的发布。如果无法安装更新,MikroTik 建议禁用 SMB。几天前,卡巴斯基实验室的安全专家宣布已经发现了一个新的复杂的 APT 组织,该组织从至少 2012 年起至少已经在雷达中运行。卡巴斯基跟踪该组织,并确定了它使用的一系列恶意软件,称为 Slingshot,以 妥协中东和非洲数十万受害者的系统。

slingshot

研究人员已经在肯尼亚,也门,阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚发现了约 100 名弹弓受害者并发现了其模块。肯尼亚和也门迄今为止感染人数最多。 大多数受害者是个人而非组织,政府组织数量有限。APT 组利用拉脱维亚网络硬件提供商 Mikrotik 使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)将间谍软件放入受害者的计算机中。

攻击者首先破坏路由器,然后用文件系统中的恶意代码替换它的一个 DDL,当用户运行 Winbox Loader 软件(Mikrotik 路由器管理套件)时,该库将加载到目标计算机内存中。

该 DLL 文件在受害者的机器上运行,并连接到远程服务器以下载最终有效负载,即卡巴斯基监控的攻击中的 Slingshot 恶意软件。目前还不清楚 Slingshot 团伙是否也利用 CVE-2018-7445 漏洞危害路由器。既然漏洞 CVE-2018-7445 漏洞的概念证明可用,那么客户需要将 RouterOS 升级到版本 6.41.3 以避免问题。

稿源:东方安全,封面源自网络;

封面