info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

مسیریاب‌های میکروتیک در محاصره‌ی آسیب‌پذیری‌ها

خلاصه: محققان امنیتی Tenable Research تکنیک حمله‌ی جدیدی را برای تسخیر کامل مسیریاب‌های میکروتیک، ارائه کرده‌اند. باوجود اینکه میکروتیک آسیب‌پذیری‌های مرتبط با این حمله را حدود ۱ ماه قبل وصله کرد، اما اسکن‌ها نشان می‌دهد که ۷۰ درصد (حدود ۲۰۰۰۰۰) از مسیریاب‌ها هنوز به این حمله آسیب‌پذیر هستند.

 

محققان امنیتی Tenable Research تکنیک حمله‌ی جدیدی را برای تسخیر کامل مسیریاب‌های میکروتیک، ارائه کرده‌اند. بنابراین مسیریاب‌های میکروتیک که همچنان در معرض خطر بوده‌اند، با وجود کد اثبات مفهوم این حمله وضعیتشان بدتر می‌شود.

این تکنیک کشف‌شده می‌تواند توسط مهاجم راه دور برای اجرای کد دلخواه بر روی دستگاه‌های آسیب‌پذیر، مورد بهره‌برداری قرار گیرد!

این آسیب‌پذیری که با شناسه‌ی CVE-2018-14847 ردیابی می‌شود، ابتدا به‌عنوان یک آسیب‌پذیری با شدت متوسط منتشر شد، اما اکنون به‌عنوان یک آسیب‌پذیری بحرانی دسته‌بندی شده است، چراکه تکنیک هک جدید برای این آسیب‌پذیری به مهاجم امکان اجرای کد از راه دور بر روی دستگاه‌های تحت تاثیر واقع شده و دسترسی به شل روت را می‌دهد.

این آسیب‌پذیری Winbox و برنامه‌ی GUI ویندوزی برای نرم‌افزار RouterOS استفاده شده توسط دستگاه‌های میکروتیک را تحت تاثیر قرار می‌دهد.

مهاجم با استفاده از این آسیب‌پذیری می‌تواند با دستکاری درخواست‌ها و تغییر بایت مربوط به Session ID، احراز اصالت را از راه دور، دور زده و فایل‌های دلخواه را بخواند.

اکسپلویت اثبات مفهوم این آسیب‌پذیری که توسط محققان Tenable Research ایجاد شده است، "By the Way" نام گرفته است و ابتدا از آسیب‌پذیری پیمایش مسیر برای دزدیدن مجوزهای ورود از فایل پایگاه‌داده‌ی کاربر استفاده می‌کند، و سپس برای به‌دست آوردن دسترسی راه دور شل روت فایل دیگری را روی سیستم، می‌نویسد.

به‌عبارت دیگر، اکسپلویت جدید می‌تواند به مهاجم احراز مجوز نشده امکان هک سیستم RouterOS میکروتیک، استقرار پیلودهای بدافزاری یادورزدن فایروال روتر را بدهد.

علاوه‌بر‌این، محققان آسیب‌پذیری‌های دیگری را نیز در RouterOS میکروتیک کشف کرده‌اند:

  • CVE-2018-1156: یک آسیب‌پذیری سرریز بافر که به مهاجمان امکان گرفتن دسترسی کامل سیستم را می‌دهد.
  • CVE-2018-1157: یک آسیب‌پذیری که به یک مهاجم احراز اصالت‌شده‌ی راه دور امکان خراب کردن سرور HTTP را می‌دهد.
  • CVE-2018-1159: آسیب‌پذیری‌ای که امکان خراب کردن سرور HTTP با استفاده از احرازاصالت و قطع ارتباط سریع را فراهم می‌کند.
  • CVE-2018-1158: آسیب‌پذیری‌ای که می‌تواند سرور HTTP را از طریق تجزیه‌ی بازگشتی JSON خراب کند.

این آسیب‌پذیری‌ها، سیستم‌عامل RouterOS میکروتیک قبل از نسخه‌های ۶.۴۲.۷ و ۶.۴۰.۹ را تحت تاثیر قرار می‌دهد. محققان این آسیب‌پذیری‌ها را در ماه مه به میکروتیک گزارش کردند و این کمپانی با انتشار نسخه‌های ۶.۴۰.۹ و ۶.۴۲.۷ این آسیب‌پذیری‌ها را رفع کرد.

باوجود اینکه میکروتیک این آسیب‌پذیری‌ها را حدود ۱ ماه قبل وصله کرد، اما اسکن‌ها نشان می‌دهد که ۷۰ درصد (حدود ۲۰۰۰۰۰) از مسیریاب‌ها هنوز به این حمله آسیب‌پذیر هستند.

توصیه می‌کنیم که اگر مسیریاب میکروتیکی دارید که هنوز آن را آپدیت نکرده‌اید، هرچه سریع‌تر این کار را انجام دهید. همچنین اگر از مجوزهای پیشفرض بر روی مسیریابتان استفاده می‌کنید، بهتر است که هرچه سریعتر پسورد پیشفرض را تغییر داده و از یک پسورد منحصربه‌فرد، طولانی و پیچیده استفاده کنید.