按 Enter 到主內容區
:::

TWCERT-電子報

:::

速更新MikroTik路由器RouterOS,攔阻By the Way入侵技術&多項DoS風險

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-03
  • 點閱次數:1449
速更新MikroTik路由器RouterOS,攔阻By the Way入侵技術&多項DoS風險

CVE編號

CVE-2018-14847,CVE-2018-1156,CVE-2018-1157,CVE-2018-1158,CVE-2018-1159

內文

●概述:
拉脫維亞網路設備商MikroTik,供應全球有數十萬部WIFI及路由器設備,以Linux v3.3.5核心為基礎,開發獨立作業系統RouterOS,可安裝於該公司RouterBoard路由器或標準x86平台,具備Firewall、VPN、QoS & Band Management、鏡射監管流量(Port Mirroring)等功能。據Tenable Research機構研究成果,RouterOS內Winbox控制臺舊有directory traversal缺點,原為中級程度,但受到By the Way入侵技術威脅,升級成嚴重風險,攻擊者避開身分驗證,從資料庫竊取管理者帳密,藉Telnet或SSH連線,開啟設備後門,獲得系統root shell存取權,恐針對路由器部署惡意payload或停用防火牆;另擁有合法帳號之駭客,呼叫sprintf()函數可觸發stack溢位,賡續發動RCE而獲致完整系統權限;尚有DoS事件3項,對檔案上傳封包加以變造、遞迴式JSON解析佔據stack、快速驗證瞬間斷線等手法,均可讓設備失能。MikroTik已升級軟體改善程式缺陷,然截至10月3日Shodan掃描分析,約略35,000至40,000部Mikrotik設備完成升級,仍有7成產品(20餘萬)未修補,分布於巴西、印尼、中國大陸、俄羅斯、印度等地,隨時淪為駭客囊中物。
●編註:
(1) By the Way探勘方式
MikroTik RouterOS提供Winbox控制臺功能,由web介面與Windows風格GUI所構成,管理者透過Winbox設定RouterOS,今年4月曾公開Winbox 目錄遍歷漏洞,攻擊者巧妙地修改Session ID內1byte數據再送出請求,反覆為之,則可免除身分驗證階段,閱覽任何檔案。
原本弱點僅是中級風險,然研究者在既有技術基礎上順道(By the Way)加碼,以C++編輯探勘程式碼,升級為高風險漏洞,By the Way結合故有directory traversal瑕疵特性,從用戶資料庫竊取管理者帳密,並藉Telnet或SSH連線,開啟設備開發用後門,接著置入檔案以獲得系統root shell存取權,此際駭客可遠距控制路由器,部署惡意payload或停止防火牆運作。
(2)堆疊緩衝區溢位
具備有效帳號的攻擊者,通過身份驗證後,呼叫sprintf()函數,操縱下列http語法:
GET /ssl_conn.php?usrname=%s&passwd=%s&softid=%s&level=%d&pay_type=%d&board=%d HTTP/1.0
嗣後能在license升級介面區觸發stack buffer overflow,發動RCE攻擊,獲致所有內部系統權限。
(3)服務阻斷事件3項
(3-1)針對檔案上傳功能破綻,對/jsproxy/upload發送變造之POST請求,持續消耗記憶體,能當掉HTTP server,若是在x86 運行的RouterOS,則會產生reboot狀況。
(3-2)駭客製造遞迴式JSON解析,無限佔據stack空間,最終導致HTTP服務中止。
(3-3)對HTTP server快速發送身分驗證請求並中斷連線,將發生memory corruption。

影響產品

RouterOS 6.40.9之前版本 /RouterOS 6.42.7之前版本 /RouterOS 6.43之前版本

解決辦法

RouterOS用戶,從QuickSet(System)頁籤 -> 按Check For Updates ->下拉Packages選單,升級所需軟體版本。
回頁首