Une nouvelle technique de piratage informatique a été trouvé affectant les routeurs Mikrotik et en utilisant le bug CVE-2018-14847. Les nouveaux résultats montrent que le bug doit être réaffecté à un niveau critique. Notre article donne un aperçu du problème.
CVE-2018-14847 MikroTik routeurs Vulnérabilité critique augmentée à
routeurs Mikrotik sont en cours maintenant la principale cible des pirates comme un bug de sécurité précédemment connu a été escaladé au “critique” niveau. Cela est dû à une recherche récemment mis en ligne donnant plus de détails au sujet d'un nouveau mécanisme de piratage permettant aux acteurs malveillants de détourner ces dispositifs en utilisant une nouvelle approche.
Le bug en question est suivi dans l'avis qui a été annoncé CVE-2018-14847 plus tôt cette année et patché en Avril. Lorsque le problème a été rapporté impacté l'application WinBox qui une application d'administration et une interface utilisateur pour le système RouterOS utilisé par les dispositifs Mikrotik.
La nouvelle recherche sur la sécurité montre que la nouvelle technique d'attaque exploite le même bug, En conséquence, les opérateurs malveillants peuvent exécuter du code à distance sans être authentifié au système. Le code preuve de concept démontre que les opérateurs malveillants peuvent acquérir à distance un shell root sur les périphériques, ainsi que les règles de contournement du pare-feu. Cela leur donne la possibilité d'empiéter sur les réseaux internes et même les logiciels malveillants de l'installation sans être détecté.
La cause de ce problème est un problème dans le fichier de répertoire utilisé par le logiciel WinBox qui permet aux attaquants distants afin de lire les fichiers sans être authentifié. Non seulement cela, mais la tactique nouvellement découverte permet également aux pirates d'écrire dans le fichier. Ceci est possible en déclenchant un débordement de mémoire tampon qui peut permettre l'accès aux informations d'identification stockées utilisées pour accéder au menu restreint. La nouvelle technique d'attaque suit ce processus en deux étapes par la première acquisition d'informations sur les périphériques cibles et exploiter les informations d'identification dans les accès.
La vulnérabilité CVE-2018-1484 a été patché par MikroTik en Août cependant une nouvelle analyse révèle que seulement 30% de tous les routeurs ont été patché. Cela laisse des milliers de routeurs vulnérables, tant à la question plus et celui annoncé récemment. Ceci est une instance très dangereuse car les acteurs malveillants peuvent utiliser les signatures des routeurs Mikrotik et découvrir facilement les périphériques cibles. Une recherche de l'échantillon montre que beaucoup d'entre eux se trouvent dans les pays suivants: Inde, Fédération de Russie, Chine, Le Brésil et l'Indonésie.
La nouvelle méthode d'attaque au moment est exploitée en utilisant des campagnes d'attaque contre severl dispositifs unpatched. Suite à la découverte MikroTik a publié un patch corrige toutes les vulnérabilités connues englobé dans l'avis CVE-2018-1484. Tous les propriétaires de l'appareil sont invités à mettre à jour leur matériel à la dernière version du système de RouterOS.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: