Una nuova tecnica di hacking è stato trovato che colpisce i router MikroTik e facendo uso del CVE-2.018-14.847 bug. I nuovi risultati mostrano che il bug ha bisogno di essere riassegnati ad un livello critico. Il nostro articolo fornisce una panoramica del problema.
CVE-2.018-14.847 MikroTik Router vulnerabilità aumentata a Critical
I router MikroTik sono ora di essere il bersaglio principale degli hacker come un bug di sicurezza precedentemente noto è stata aumentata al “critico” livello. Ciò è dovuto a una ricerca recente pubblicato fornire ulteriori dettagli su un nuovo meccanismo di hacking che consente attori maligni di dirottare questi dispositivi utilizzando un nuovo approccio.
Il bug in questione è tracciato nel CVE-2.018-14.847 di consulenza che è stato annunciato all'inizio di quest'anno e patchato in aprile. Quando il problema è stato segnalato influenzato l'applicazione Winbox che un'applicazione amministrativa e un'interfaccia utente per il sistema RouterOS utilizzato dai dispositivi MikroTik.
La nuova ricerca sulla sicurezza dimostra che la nuova tecnica di attacco sfrutta lo stesso bug, di conseguenza gli operatori malintenzionati possano eseguire codice remoto senza essere autenticato al sistema. Il codice proof-of-concept dimostra che gli operatori malintenzionati possono acquisire in remoto una shell di root sui dispositivi, così come aggirare le regole del firewall. Questo dà loro la capacità di introdursi nelle reti interne e anche il malware pianta senza essere rilevata.
La causa di questo problema è un problema nel file directory utilizzata dal software Winbox che consente agli aggressori remoti di leggere i file senza essere autenticati. Non solo questo, ma la tattica appena scoperto permette anche gli hacker di scrivere il file. Ciò è possibile innescare un buffer overflow che può consentire l'accesso alle credenziali memorizzate utilizzate per entrare nel menu ristretta. La nuova tecnica di attacco segue questo processo in due fasi dapprima acquisizione di informazioni sui dispositivi di destinazione e quindi sfruttando le credenziali in accedervi.
La vulnerabilità CVE-2018-1484 è stato patchato da MikroTik nel mese di agosto però una nuova scansione rivela che solo circa 30% di tutti i router sono stati corretti. Questo lascia migliaia di router vulnerabili sia alla questione più vecchio e quello recentemente annunciato. Questo è un caso molto pericoloso in quanto attori maligni possono utilizzare le firme dei router MikroTik e scoprire facilmente i dispositivi di destinazione. Una ricerca di esempio mostra che molti di loro si trovano nei seguenti paesi: India, Federazione Russa, Porcellana, Brasile e l'Indonesia.
Il nuovo metodo di attacco al momento viene sfruttata mediante campagne di attacco contro severl dispositivi senza patch. In seguito alla scoperta MikroTik rilasciato una patch correzioni tutte le vulnerabilità conosciute compreso nella consulenza CVE-2018-1484. Tutti i proprietari di dispositivi sono invitati ad aggiornare le loro attrezzature per l'ultima versione del sistema RouterOS.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: