Уязвимость в маршрутизаторах MikroTik оказалась опаснее, чем предполагалось
Специалисты разработали новый метод атаки, позволяющий использовать проблему для удаленного выполнения кода.
В апреле текущего года латвийский производитель сетевого оборудования MikroTik устранил уязвимость (CVE-2018-14847) в Winbox – компоненте ОС RouterOS, используемой в маршрутизаторах компании. На тот момент проблема была оценена как средней степени опасности, однако специалисты Tenable Research разработали новый метод атаки, позволяющий использовать данную уязвимость для удаленного выполнения кода. Исследователи описали новую технику в рамках доклада на конференции DerbyCon 8.0, проходившей в США. По их словам, воспользовавшись уязвимостью, атакующий может незаметно открыть оболочку с правами суперпользователя, обойти межсетевой экран маршрутизатора, получить доступ к внутренней сети и даже загрузить вредоносное ПО на целевую систему, пояснили эксперты.
Уязвимость CVE-2018-14847, связанная с Winbox Any Directory File, позволяет прочитать файлы без авторизации. С помощью новой техники возможно не только прочитать, но и записать файлы в память маршрутизатора, вызвать переполнение буфера и выполнить произвольный код.
MikroTik устранила уязвимость весной нынешнего года, однако, как показала проверка Tenable Research, примерно 200 тыс. маршрутизаторов остаются уязвимыми к атаке.
«Согласно данным Shodan, в мире насчитывается сотни тысяч машрутизаторов MikroTik, наибольшее их число зафиксировано в Бразилии, Индонезии, Китае, Российской Федерации и Индии. По состоянию на 3 октября примерно 35-40 тыс. устройств отображают обновленную, исправленную версию», — отметили специалисты.
Кроме прочего, команда Tenable Research обнародовала информацию о ряде других уязвимостей в маршрутизаторах MikroTik. В общей сложности исследователи выявили четыре проблемы, в том числе одну критическую (CVE-2018-1156). Остальные проблемы связаны с повреждением памяти (CVE-2018-1157, CVE-2018-1159, CVE-2018-1158). Производитель уже выпустил версии RouterOS 6.40.9, 6.42.7 и 6.43, устраняющие вышеуказанные уязвимости. Данные обновления также предотвращают все атаки, связанные с эксплуатацией CVE-2018-14847.