速更新MikroTik路由器RouterOS,攔阻By the Way入侵技術&多項DoS風險
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:1449
CVE編號
內文
●概述:
拉脫維亞網路設備商MikroTik,供應全球有數十萬部WIFI及路由器設備,以Linux v3.3.5核心為基礎,開發獨立作業系統RouterOS,可安裝於該公司RouterBoard路由器或標準x86平台,具備Firewall、VPN、QoS & Band Management、鏡射監管流量(Port Mirroring)等功能。據Tenable Research機構研究成果,RouterOS內Winbox控制臺舊有directory traversal缺點,原為中級程度,但受到By the Way入侵技術威脅,升級成嚴重風險,攻擊者避開身分驗證,從資料庫竊取管理者帳密,藉Telnet或SSH連線,開啟設備後門,獲得系統root shell存取權,恐針對路由器部署惡意payload或停用防火牆;另擁有合法帳號之駭客,呼叫sprintf()函數可觸發stack溢位,賡續發動RCE而獲致完整系統權限;尚有DoS事件3項,對檔案上傳封包加以變造、遞迴式JSON解析佔據stack、快速驗證瞬間斷線等手法,均可讓設備失能。MikroTik已升級軟體改善程式缺陷,然截至10月3日Shodan掃描分析,約略35,000至40,000部Mikrotik設備完成升級,仍有7成產品(20餘萬)未修補,分布於巴西、印尼、中國大陸、俄羅斯、印度等地,隨時淪為駭客囊中物。
●編註:
(1) By the Way探勘方式
MikroTik RouterOS提供Winbox控制臺功能,由web介面與Windows風格GUI所構成,管理者透過Winbox設定RouterOS,今年4月曾公開Winbox 目錄遍歷漏洞,攻擊者巧妙地修改Session ID內1byte數據再送出請求,反覆為之,則可免除身分驗證階段,閱覽任何檔案。
原本弱點僅是中級風險,然研究者在既有技術基礎上順道(By the Way)加碼,以C++編輯探勘程式碼,升級為高風險漏洞,By the Way結合故有directory traversal瑕疵特性,從用戶資料庫竊取管理者帳密,並藉Telnet或SSH連線,開啟設備開發用後門,接著置入檔案以獲得系統root shell存取權,此際駭客可遠距控制路由器,部署惡意payload或停止防火牆運作。
(2)堆疊緩衝區溢位
具備有效帳號的攻擊者,通過身份驗證後,呼叫sprintf()函數,操縱下列http語法:
GET /ssl_conn.php?usrname=%s&passwd=%s&softid=%s&level=%d&pay_type=%d&board=%d HTTP/1.0
嗣後能在license升級介面區觸發stack buffer overflow,發動RCE攻擊,獲致所有內部系統權限。
(3)服務阻斷事件3項
(3-1)針對檔案上傳功能破綻,對/jsproxy/upload發送變造之POST請求,持續消耗記憶體,能當掉HTTP server,若是在x86 運行的RouterOS,則會產生reboot狀況。
(3-2)駭客製造遞迴式JSON解析,無限佔據stack空間,最終導致HTTP服務中止。
(3-3)對HTTP server快速發送身分驗證請求並中斷連線,將發生memory corruption。
影響產品
解決辦法
相關連結
- https://blog.mikrotik.com/security/new-exploit-for-mikrotik-router-winbox-vulnerability.html
- https://cxsecurity.com/issue/WLB-2018100099
- https://thehackernews.com/2018/10/router-hacking-exploit.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14847
- https://paper.tuisec.win/detail/227fce3a22a6a9c
- https://www.tenable.com/security/research/tra-2018-21
- https://github.com/BasuCert/WinboxPoC
- https://github.com/BigNerd95/WinboxExploit
- https://n0p.me/winbox-bug-dissection/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1156
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1157
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1158
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1159
- https://mikrotik.com/download/changelogs/bugfix-release-tree
- https://5.imimg.com/data5/RG/UW/MY-6408478/mikrotik-router-for-home-hap-mini-500x500.jpg