Запушиха дупка в софтуера към рутерите на Mikrotik

Тази седмица ви съобщихме за ограничена по размери (засегнати са били малко над 100 устройства) кибершпионска операция към устройства на Mikrotik. Името ? Slingshot и е действала от 2012 до миналия месец, по данни на Kaspersky. В началото на тази седмица, съобщава Кевин Таузенд от страниците на SecurityWeek, латвийската компания публикува обновление за критична уязвимост в операционната система на устройството RouterOS. Въпросната уязвимост (CVE-2018-7445) е дистанционно експлоатируема и е свързана с възможността за препълване на SMB буфера, което от своя страна позволява отдалеченото изпълнение на случаен код. Експлоатирането може да се осъществи преди процеса по автентикацията, съобщава компанията, която е открила и докладвала уязвимостта на Mikrotik, Core Security. Заедно с това, те публикуват и PoC (proof-of-concept) код, валидиращ проблема срещу x86 Cloud Hosted Router, версията на RouterOS за виртуални среди.

Core изпращат доклад на Mikrotik на 19-ти миналия месец. Компанията реагира бързо и още същия ден издава бюлетин, оповестяващ, че предстои адресирането ? със следващото издание на софтуера. Mikrotik се справят с проблема в ново издание на софтуера на 12-ти този месец, като впоследствие обявяват, че са запушили дупката. Тези от потребителите, които не могат да направят ъпгрейд скоро са посъветвани просто да деактивират поддръжката на SMB.

„Не е ясно към настоящия момент дали групировката зад Slingshot е получила достъп до устройствата на Mikrotik чрез CVE-2018-7445, но е изкушаващо да се мисли в тази посока“, коментира Таунзенд. Макар и уязвимостта да трябва да представлява първата фаза на атаката, допълва той, то трябва да се използва Winbox (Windows програмата за конфигурация и управление на рутера), за да бъде свален зловредния код. По отношение на материалите в медиите, излезли през седмицата за атаката, самите Mikrotik уверяват, че няма третата версия на Winbox не е засегната. „Winbox v3 е публикувана през 2014. Дори и някой да използва наистина остарелия вече Winbox v2, те пак трябва да имат необезопасена RoutersOS, за да бъде осъществена успешно атаката (защитната стена трябва да е деактивирана). Това е и причината да бъдат открити едва 120 засегнати машини от 2012 досега“.

Вземайки предвид това обаче, че в Интернет беше публикуван експлойт код в открит вид, логичният ход на потребителите е да обновят версията на използваната от тях RouterOS до версия 6.41.3.