Запушиха дупка в софтуера към рутерите на Mikrotik
Тази седмица ви съобщихме за лимитирана по размери (засегнати са били малко над 100 устройства) кибершпионска интервенция към устройства на Mikrotik. Името ѝ Slingshot и е работила от 2012 до предишния месец, по данни на Kaspersky. В началото на тази седмица, оповестява Кевин Таузенд от страниците на SecurityWeek, латвийската компания разгласява обновяване за сериозна накърнимост в операционната система на устройството RouterOS. Въпросната накърнимост (CVE-2018-7445) е отдалечено експлоатируема и е обвързвана с опцията за препълване на SMB буфера, което от своя страна разрешава отдалеченото осъществяване на инцидентен код. Експлоатирането може да се реализира преди процеса по автентикацията, оповестява компанията, която е разкрила и докладвала уязвимостта на Mikrotik, Core Security. Заедно с това, те разгласяват и PoC (proof-of-concept) код, валидиращ казуса против x86 Cloud Hosted Router, версията на RouterOS за виртуални среди.
Core изпращат отчет на Mikrotik на 19-ти предишния месец. Компанията реагира бързо и още същия ден издава бюлетин, оповестяващ, че следва адресирането ѝ със идващото издание на софтуера. Mikrotik се оправят с казуса в ново издание на софтуера на 12-ти този месец, като след това афишират, че са запушили дупката. Тези от потребителите, които не могат да създадат ъпгрейд скоро са посъветвани просто да деактивират поддръжката на SMB.
„Не е ясно към сегашния миг дали групировката зад Slingshot е получила достъп до устройствата на Mikrotik посредством CVE-2018-7445, само че е изкушаващо да се мисли в тази посока“, разяснява Таунзенд. Макар и уязвимостта да би трябвало да съставлява първата фаза на офанзивата, добавя той, то би трябвало да се употребява Winbox (Windows програмата за настройка и ръководство на рутера), с цел да бъде свален зловредния код. По отношение на материалите в медиите, излезли през седмицата за офанзивата, самите Mikrotik твърдят, че няма третата версия на Winbox не е наранена. „Winbox v3 е оповестена през 2014. Дори и някой да употребява в действителност остарелия към този момент Winbox v2, те отново би трябвало да имат необезопасена RoutersOS, с цел да бъде осъществена сполучливо офанзивата (защитната стена би трябвало да е деактивирана). Това е и повода да бъдат открити едвам 120 наранени машини от 2012 досега“.
Вземайки поради това обаче, че в Интернет беше оповестен експлойт код в открит тип, разумният ход на потребителите е да обновят версията на употребяваната от тях RouterOS до версия 6.41.3.
Core изпращат отчет на Mikrotik на 19-ти предишния месец. Компанията реагира бързо и още същия ден издава бюлетин, оповестяващ, че следва адресирането ѝ със идващото издание на софтуера. Mikrotik се оправят с казуса в ново издание на софтуера на 12-ти този месец, като след това афишират, че са запушили дупката. Тези от потребителите, които не могат да създадат ъпгрейд скоро са посъветвани просто да деактивират поддръжката на SMB.
„Не е ясно към сегашния миг дали групировката зад Slingshot е получила достъп до устройствата на Mikrotik посредством CVE-2018-7445, само че е изкушаващо да се мисли в тази посока“, разяснява Таунзенд. Макар и уязвимостта да би трябвало да съставлява първата фаза на офанзивата, добавя той, то би трябвало да се употребява Winbox (Windows програмата за настройка и ръководство на рутера), с цел да бъде свален зловредния код. По отношение на материалите в медиите, излезли през седмицата за офанзивата, самите Mikrotik твърдят, че няма третата версия на Winbox не е наранена. „Winbox v3 е оповестена през 2014. Дори и някой да употребява в действителност остарелия към този момент Winbox v2, те отново би трябвало да имат необезопасена RoutersOS, с цел да бъде осъществена сполучливо офанзивата (защитната стена би трябвало да е деактивирана). Това е и повода да бъдат открити едвам 120 наранени машини от 2012 досега“.
Вземайки поради това обаче, че в Интернет беше оповестен експлойт код в открит тип, разумният ход на потребителите е да обновят версията на употребяваната от тях RouterOS до версия 6.41.3.
Източник: kaldata.com
КОМЕНТАРИ