Firma Mikrotik informuje o dwóch nowych, krytycznych podatnościach.
Pierwsza podatność w RouterOS dotyczy interfejsu konfiguracyjnego www. Błąd został poprawiony w wersjach:
- 6.37.5 – Bugfix channel
- 6.38.5 – Current channel
Podatne są urządzenia ze starszą wersją RouterOS niż powyższe i otwartym portem 80, na którym działa usługa www. Mikrotik zaleca aktualizacje systemu do wersji 6.38.5 lub nowszej. Przy aktualizacji zainfekowane pliki zostaną usunięte. Botnety VPNfilter i Hajime aktywnie skanują internet w poszukiwaniu podatnych urządzeń. W szczególności zaleca się blokować adres 95.154.216.163, który po zainfekowaniu ściąga plik php, mogący być kolejną fazą ataku.
Druga podatność (CVE-2018-14847) dotyczy programu Winbox, służącego do zarządzania urządzeniami Mikrotik. Atakujący mógł pominąć mechanizm uwierzytelniania i odczytać dowolny plik, np. bazę systemowych użytkowników. Podatne są wersje od 6.29 do 6.43rc3 włącznie. Mikrotik oświadcza, iż aktualnie nie ma pewnego sposobu, aby sprawdzić czy dane urządzenie jest podatne, dlatego zaleca aby, jeśli urządzenie ma otwarty port Winbox, dodać odpowiednie reguły do zapory urządzenia. Obserwuje się ataki wykorzystujące tą podatność, polegające na wstrzyknięciu skryptu CoinHive na stronę urządzenia.
CERT PSE zaleca zapoznanie się ze szczegółami na stronie producenta i zastosowanie niezbędnych aktualizacji.
Źródła:
https://blog.mikrotik.com/security/www-vulnerability.html
https://blog.mikrotik.com/security/winbox-vulnerability.html