MikroTik是拉脱维亚的一家供应商,生产全球许多运行基于Linux操作系统的电信公司的路由器。该漏洞被追踪为CVE-2018-7445,远程攻击者可以利用该服务访问该服务以在系统上执行任意代码。“在处理NetBIOS会话请求消息时,MikroTik RouterOS SMB服务中发现缓冲区溢出。 访问该服务的远程攻击者可以利用此漏洞并在系统上获得代码执行权。“阅读该公司发布的咨询。“溢出发生在身份验证发生之前,因此未经身份验证的远程攻击者有可能利用此漏洞。”
研究人员发布了与MikroTik的x86云托管路由器配合使用的概念验证代码证明。核心首先在2018年2月19日向MikroTik报告了这个漏洞.MozroTik计划在2018年3月1日发布下一个版本的修复程序,并要求Core不要泄露该漏洞的细节。 即使MikroTik无法在2018年截止日期前发布修复程序,Core仍在等待2018年3月12日星期一发布的新版本的发布。如果无法安装更新,MikroTik建议禁用SMB。几天前,卡巴斯基实验室的安全专家宣布已经发现了一个新的复杂的APT组织,该组织从至少2012年起至少已经在雷达中运行。卡巴斯基跟踪该组织,并确定了它使用的一系列恶意软件,称为Slingshot,以 妥协中东和非洲数十万受害者的系统。
研究人员已经在肯尼亚,也门,阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚发现了约100名弹弓受害者并发现了其模块。肯尼亚和也门迄今为止感染人数最多。 大多数受害者是个人而非组织,政府组织数量有限。APT组利用拉脱维亚网络硬件提供商Mikrotik使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)将间谍软件放入受害者的计算机中。
攻击者首先破坏路由器,然后用文件系统中的恶意代码替换它的一个DDL,当用户运行Winbox Loader软件(Mikrotik路由器管理套件)时,该库将加载到目标计算机内存中。
该DLL文件在受害者的机器上运行,并连接到远程服务器以下载最终有效负载,即卡巴斯基监控的攻击中的Slingshot恶意软件。目前还不清楚Slingshot团伙是否也利用CVE-2018-7445漏洞危害路由器。既然漏洞CVE-2018-7445漏洞的概念证明可用,那么客户需要将RouterOS升级到版本6.41.3以避免问题。
原文:http://securityaffairs.co/wordpress/70436/hacking/mikrotik-routeros-flaw.html