MikroTik 为其旗下一些路由器操作系统 RouterOS 发布了多个固件补丁,修复了已遭利用的 0day 漏洞。
一名 MikroTik 工程师昨天表示,“漏洞可导致特别工具连接至 MikroTik 的 Winbox 端口,并请求系统用户数据库文件。”随后,攻击者可解密从数据库找到的详情并登录到 MikroTik 路由器中。
某捷克技术论坛上的用户率先发现了攻击的存在,他们指出攻击遵循相似的模式。攻击者两次尝试登录 Winbox 失败、成功登录一次,更改某些服务、登出,然后几个小时后卷土重来。
所有的攻击都是针对 Winbox 执行的。Winbox 是 MikroTik 为路由器提供的一款远程管理服务,允许用户配置网络内部或互联网上的设备。Winbox 服务(端口8291)在所有 MikroTik 设备中默认启用。
好在所有的攻击都源自某个 IP 地址,这表明这是一名独狼黑客。所有用户称这个 IP 地址是位于中国台湾的 103.1.221.39。
这个 MikroTik 0day 利用尝试仅发生在小范围,并未出现在如 SANS ISC 和奇虎360 Netlab说明的端口活动追踪器上。
MikroTik 公司表示,这个 0day 漏洞影响版本 v6.29 以后的所有 RouterOS 版本。该公司在今天发布的 RouterOS v6.42.1 和 v6.43rc4 中修复了这个 0day 漏洞。
从收到用户报告到推出补丁不到一天的时间里,MikroTik 就修复了这个 0day 漏洞。相比某些厂商动辄耗费数月甚至数年的时间发布固件补丁而言,MikroTik 的响应时间非常令人印象深刻。
由于攻击者窃取了用户数据库文件且目前尚无法获知哪些路由器已遭攻击,MikroTik 公司的工程师建议所有设备所有人更改路由器的管理员账户密码。除了更新路由器的固件外,MikroTik 工程师还建议用户使用 Winbox 工具本身将 Winbox 端口更改为另外一个值或使用“Available From”字段限制端口仅供某些 IP 和 IP 范围使用。
这个尚未分配CVE 编号的 0day 漏洞和近期由 CORE Security 研究人员所发现的影响路由器 SMB 服务的漏洞并不相同,而且和 Hajime 僵尸网络利用的漏洞也并非同一个漏洞。