查看原文
其他

MikroTik 路由器被曝多个漏洞,可被用于创建后门

Kevin Townsend 代码卫士 2023-06-25
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
MikroTik 路由器中被曝多个漏洞,可导致攻击者获得后门。该利用链始于 DNS 投毒,然后降级所安装的 MikroTik RouterOS 软件的版本,最终启用后门。
Tenable 发现了这些漏洞,并在2019年9月11日披露了两个MikroTik 漏洞(CVE-2019-3976 和 CVE-2019-3977),并在9月13日再次披露两个漏洞(CVE-2019-3978和CVE-2019-3979)。它指出,“通过链接这些漏洞,未经验证的额远程攻击者能够访问路由器上的端口8291,执行 RouterOS 降级,重新设置系统密码并可能获得 root shell。”MikroTik 于2019年10月28日发布补丁。
第一个阶段是 DNS 缓存投毒。DNS 服务器的默认设置是禁用的,但该路由器仍然维持着自身的 DNS 缓存。DNS 查找通过“解析器”二进制处理,该二进制被 hook 到 RouterOS 的 Winbox 协议中。发送到 Winbox 端口的信息可被发送给不同的二进制,包括解析器在内。未经身份验证的远程用户能够通过三个可用命令将 DNS 请求经过路由器到达受控制的 DNS 服务器。
Tenable 研究人员在一篇博客文章中指出,“由于我们能够制定请求应该已经过的DNS 服务器,因此注入恶意地址并非难事。
下一步就是将软件降级至版本6.42.12或更早版本。从版本6.43开始,MikroTik 密码处理就发生了变化。相关的更改日志指出,“降级到 6.43版本之
前的任意版本(6.42.12及更早版本)将会清除所有的用户密码并允许无密码验证。
然而,攻击者可以使用自定义的恶意 DNS 服务器在路由器的缓存中注入一系列恶意 IP 地址,包括下载地址在内。当路由器查找更新时,会继续到攻击者的网站而非真正的 MikroTik 下载站点。该恶意网站可被用于提供诱骗 RouterOS 认为是最新版本的早期版本。
研究人员指出,“当用户安装了‘新更新’后,他们将会绕过禁止通过更新降级的正常逻辑并转换至 RouterOS 6.41.4。由于我们诱骗 RouterOS 从 6.45.6 降级至 6.41.4,因此返回管理员用户的默认空密码,也就是说攻击者能够以管理员用户身份登录。
研究人员选择版本6.41.4的原因在于,它包含多个已知漏洞“可导致产生系统后门。我可以使用这些漏洞得到完整的busybox shell。”然而并非一定需要使用老旧的 exploit。Tenable 公司在包程序中发现了另外一个漏洞,可导致攻击者在系统上创建任意目录。
MikroTik 在更新过程中处理 .NPK 文件的方式(它到达签名部分就停止计算包的 SHA-1算法),意味着它将解析附加的“partinfo”字段。它可被用于在磁盘任何地方创建目录。研究人员表示,“ 6.41.4 的后门启用文件就是 /pckg/option。只要该文件存在,那么即使是作为目录,该后门也可被启用。
MikroTik 已在新版本6.45.7 中修复了这些漏洞并于2019年9月10日发布(在Tenable 设置的90天最后期限内)。由于现在已公开攻击方法,因此所有用户需要升级至最新版本(当然需要确保这些版本不会被秘密地降级至之前无需密码的版本)。
但同样值得注意的是,“我碰巧非常喜欢 RouterOS 和它所提供的服务,但现在看来 Winbox 似乎是一种负债。我建议禁用它并使用 SSH。遗憾的是,我最近查看后发现超过50万个 Winbox 实例被暴露在互联网上。
 具体详情可见:
https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21




推荐阅读

年满一岁的 DoS 漏洞仍导致某些 MikroTik 路由器易受攻击

MikroTik 修复 RouterOS 中的 0day 漏洞



原文链接
https://www.securityweek.com/mikrotik-router-vulnerabilities-can-lead-backdoor-creation


题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存