Tenable виявила чотири вразливості (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 та CVE-2019-3979) у маршрутизаторах MikroTik
Tenable виявила чотири вразливості (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 та CVE-2019-3979) у маршрутизаторах MikroTik
Tenable виявили чотири вразливості (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 та CVE-2019-3979) в маршрутизаторах MikroTik. За словами фахівців, неавторизований зловмисник з доступом до порту 8291 на маршрутизаторі може віддалено відкотити ОС RouterOS до попередніх версій, скинути системні паролі і потенційно отримати права суперкористувача.
Першим етапом у ланцюжку експлуатацій є «отруєння» кешу DNS (DNS cache poisoning). У Router OS за замовчуванням відключено налаштування DNS-сервера, але маршрутизатор, як і раніше, підтримує власний DNS-кеш. Запити DNS обробляються двійковим файлом «resolver», який підключається до протоколу Winbox. За допомогою трьох команд неавторизований користувач може надсилати DNS-запити через маршрутизатор на DNS-сервер на свій вибір.
Наступним кроком у ланцюжку експлуатацій буде відкат RouterOS до версії 6.42.12 або раніше (починаючи з версії 6.43 MikroTik змінила механізм обробки пароля). Згідно з журналом змін проекту, «зниження до будь-якої версії до 6.43 (6.42.12 і старше) видаляє всі користувальницькі паролі та дозволяє авторізуватися без пароля».
За допомогою шкідливого DNS-сервер зловмисник може впровадити в кеш маршрутизатора ряд шкідливих IP-адрес, включаючи адресу завантаження. Коли маршрутизатор розпочне пошук оновлення, він потрапить на сайт зловмисника, а не офіційний сайт MikroTik. Шкідливий сайт може бути використаний для встановлення більш ранньої версії, яку RouterOS вважатиме останньою.
Коли користувач встановлює «нове оновлення», відбувається обхід звичайної логіки, яка забороняє перехід на попередні версії через оновлення, і перемикається на RouterOS 6.41.4. Оскільки нам вдалося відкотити RouterOS з версії 6.45.6. до 6.41.4 ми змогли отримати порожній пароль адміністратора. Тобто, атакуючий може авторизуватися як адміністратор, — пояснюють фахівці.
Механізм обробки .NPK-файлів має на увазі парсинг доданого поля «part info», що може використовуватися для створення каталогу в будь-якому місці на диску.
Файл підтримки бекдору для 6.41.4 є просто /pckg/option. Поки файл існує, навіть у вигляді каталогу, бекдор працюватиме, пояснюють дослідники.
Вказані вище вразливості були виправлені компанією MikroTik у версії RouterOS 6.45.7
