Nova exploração para a vulnerabilidade dos roteadores MikroTik fornece acesso root completo.
Uma vulnerabilidade conhecida nos roteadores MikroTik é potencialmente muito mais perigosa do que se pensava anteriormente.
Um pesquisador de segurança cibernética da Tenable Research lançou um novo ataque RCE de prova de conceito (PoC) para uma vulnerabilidade de traversal de diretório antiga, que foi encontrada e corrigida em abril deste ano.
A vulnerabilidade, identificada como CVE-2018-14847, foi classificada inicialmente como de gravidade média, mas agora deve ser classificada como crítica porque a nova técnica de hacking usada contra roteadores vulneráveis da MikroTik permite que invasores executem remotamente o código em dispositivos afetados e obtenham um shell de rootshell de root.
A vulnerabilidade afeta o Winbox – um componente de gerenciamento para os administradores configurarem seus roteadores usando uma interface baseada na Web – e um aplicativo Windows GUI para o software RouterOS usado pelos dispositivos MikroTik.
A vulnerabilidade permite que “atacantes remotos contornem a autenticação e leiam arquivos arbitrários, modificando uma solicitação para alterar um byte relacionado a uma ID de sessão”.
Novo ataque transformou a vulnerabilidade de “média” em “crítica”
No entanto, o novo método de ataque encontrado pela Tenable Research explora a mesma vulnerabilidade e leva-a para um passo à frente.
Uma exploração PoC, chamada ” By the Way “, lançada pela Tenable Research Jacob Baines, usa pela primeira vez a vulnerabilidade de traversal de diretório para roubar credenciais de login de administrador do arquivo de banco de dados do usuário e então grava outro arquivo no sistema para obter acesso ao shell root remotamente.
Em outras palavras, o novo exploit pode permitir que invasores não autorizados invadam o sistema RouterOS da MikroTik, implantem cargas úteis de malware ou contornem as proteções do firewall do roteador.
A técnica é mais um golpe de segurança contra os roteadores MikroTik, que anteriormente eram alvos do malware VPNFilter e usados em uma extensa campanha cryptojacking descoberto há alguns meses atrás.
Novas vulnerabilidades do roteador MikroTik
Além disso, a Tenable Research também divulgou vulnerabilidades adicionais do MikroTik RouterOS, incluindo:
- CVE-2018-1156 – Uma falha de estouro do buffer de pilha que pode permitir uma execução remota de código autenticada, permitindo que os invasores obtenham acesso total ao sistema e acesso a qualquer sistema interno que use o roteador.
- CVE-2018-1157 – Uma falha de exaustão de memória de upload de arquivo que permite que um invasor remoto autenticado trave o servidor HTTP.
- CVE-2018-1159 — Uma falha de corrupção de memória www que pode travar o servidor HTTP, autenticando e desconectando rapidamente.
- CVE-2018-1158 – Um problema de exaustão de pilha de análise recursiva que poderia travar o servidor HTTP por meio da análise recursiva de JSON.
As vulnerabilidades afetam as versões de firmware dos roteadores Mikrotik anteriores a 6.42.7 e 6.40.9.
A Tenable Research reportou os problemas para a MikroTik em maio, e a empresa resolveu as vulnerabilidades lançando as versões 6.40.9, 6.42.7 e 6.43 do RouterOS em agosto.
Embora todas as vulnerabilidades tenham sido corrigidas há mais de um mês, uma varredura recente da Tenable Research revelou que 70% dos roteadores (que equivalem a 200.000) ainda são vulneráveis a ataques.
A linha inferior: Se você possui um roteador MikroTik e você não atualizou seu RouterOS, você deve fazê-lo agora mesmo.
Além disso, se você ainda estiver usando as credenciais padrão em seu roteador é hora de alterar a senha padrão e manter uma senha única, longa e complexa.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também: GhostDNS, novo botnet invade mais de 100.000 roteadores.