路由器操作系統曝安全漏洞 允許攻擊者執行任意代碼

來自安全公司Core Security的安全專家已經披露了一個緩沖區溢出漏洞的詳細信息，該漏洞影響了運行MikroTik RouterOS 6.41.3/6.42rc27之前版本的所有體系結構和所有設備。

MikroTik成立于1995年，總部位于拉脫維亞首都里加，主要從事開發路由器和無線ISP系統，其生產的產品目前已經遍布全世界各地。該公司開發的RouterOS是一套基于Linux v3.3.5內核的路由操作系統，能夠將標準的PC電腦變成專業路由器。

該漏洞被追蹤為CNNVD-201803-658（CVE-2018-7445），有權訪問MikroTik RouterOS SMB服務的遠程攻擊者可以利用該漏洞在系統上執行任意代碼。

Core Security公司在其發布的公告中寫道：“在處理NetBIOS會話請求消息時，MikroTik RouterOS SMB服務中發現緩沖區溢出。有權訪問該服務的遠程攻擊者可利用此漏洞，并在系統上獲得代碼執行權。溢出發生在身份驗證發生之前，因此未經身份驗證的遠程攻擊者可能利用該溢出。”

與此同時，公告中還發布了與MikroTik的 x86 Cloud Hosted Router（CHR）配合使用的概念驗證代碼。

而就在幾天前，卡巴斯基實驗室的安全專家宣布已經發現了一個新的APT組織。該組織至少從2012年起就已經開始活躍，并使用一款被稱為“Slingshot”的惡意軟件將中東和非洲國家的計算機用戶作為了攻擊目標。受感染的計算機主要分布于肯尼亞、也門、阿富汗、利比亞、剛果、約旦、土耳其、伊拉克、蘇丹、索馬里和坦桑尼亞。肯尼亞和也門成為了受影響最嚴重的地區，大多數受害者是個人而非企業，也包括少數政府組織。

根據卡巴斯基實驗室安全專家的說法，這個APT組織正是利用了Mikrotik路由器中的零日漏洞CNNVD-200710-435（CVE-2007-5633）、CNNVD-201004-476（CVE-2010-1592）和CNNVD-200903-258（CVE-2009-0824）將間諜軟件植入到了受害者的計算機中。

目前沒有誰能夠確定該APT組織是否也會利用CNNVD-201803-658（CVE-2018-7445）漏洞來開展攻擊活動，但既然該漏洞已經被發現且概念驗證代碼也已經被公布，那么各位用戶就有必要將自己所使用的RouterOS升級到版本6.41.3以避免潛在的攻擊風險。另外，如果用戶由于某些原因無法安裝更新，那么我們建議用戶可以通過禁用SMB服務來緩解這個問題。

來源：黑客視界