首页 > 清静研究 > 清静转达 > 清静通告

MikroTik 路由器多个误差清静通告

宣布时间 2019-10-31

误差编号和级别

CVE编号：CVE-2019-3976，，，，，，，危险级别：高危，，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-3977，，，，，，，危险级别：高危，，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-3978，，，，，，，危险级别：高危，，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-3979，，，，，，，危险级别：高危，，，，，，，CVSS分值：官方未评定

影响版本

RouterOS Stable 6.45.6 and below

RouterOS Long-term 6.44.5 and below

误差概述

MikroTik RouterOS是拉脱维亚MikroTik公司的一套基于Linux开发的路由器操作系统。。。。。。。该系统可安排在PC中，，，，，，，使其提供路由器功效。。。。。。。

MikroTik 路由器中被曝多个误差，，，，，，，可导致攻击者获得后门。。。。。。。该使用链始于 DNS 投毒，，，，，，，然后降级所装置的 MikroTik RouterOS 软件的版本，，，，，，，最终启用后门。。。。。。。

误差简述如下：

CVE-2019-3976 路径遍历误差，，，，，，，该误差源于网络系统或产品未能准确地过滤资源或文件路径中的特殊元素。。。。。。。攻击者可使用该误差会见受限目录之外的位置。。。。。。。

CVE-2019-3977 该误差源于程序没有充分验证更新包下载的泉源。。。。。。。攻击者可使用该误差获取系统所有的用户名称和密码。。。。。。。

CVE-2019-3978 攻击者可借助8291端口使用该误差举行DNS盘问，，，，，，，可能造成缓存中毒。。。。。。。

CVE-2019-3979 远程攻击者可借助恶意的响应使用该误差污染路由器的DNS缓存。。。。。。。

研究职员建议禁用Winbox，，，，，，，而改用SSH，，，，，，，但已经发明凌驾50万个Winbox实例面向互联网。。。。。。。

误差验证

通过使用以上误差，，，，，，，未履历证的远程攻击者能够会见路由器上的端口8291，，，，，，，执行 RouterOS 降级，，，，，，，重新设置系统密码并可能获得 root shell。。。。。。。

误差使用历程如下：

1. DNS缓存中毒

DNS效劳器在默认禁用的情形下仍有其自身的DNS缓存，，，，，，，DNS查找由“剖析器”二进制文件处置惩罚，，，，，，，该二进制文件是挂接在RouterOS的Winbox协议中；；；

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

禁用的DNS效劳器

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

DNS缓存

发送到Winbox端口的新闻可以发送到差别的二进制文件及剖析器；；；

然后挪用如下图片中的三条下令（3，，，，，，，4，，，，，，，6）就能允许未经身份验证的远程用户通过路由器向自己选择的DNS效劳器发送DNS请求；；；

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

下令3、4、6

使用自界说的恶意DNS效劳器，，，，，，，攻击者可以将一系列恶意IP地点（包括下载地点）写入到路由器的缓存中，，，，，，，当路由器升级时，，，，，，，将转到攻击者的恶意站点，，，，，，，其提供RouterOS的早期版本。。。。。。。

2. 治理员身份登录

从6.43版最先，，，，，，，MikroTik密码处置惩罚机制做了更改，，，，，，，在MikroTik的相关变换日志中：“降级到6.43之前的任何版本，，，，，，，将扫除所有用户密码并允许无密码身份验证”。。。。。。。

研究职员说：“当用户装置‘新更新’时，，，，，，，绕过榨取通过更新降级的通例逻辑，，，，，，，并降级到RouterOS 6.41.4，，，，，，，由此治理员密码重置到了默认的空密码，，，，，，，攻击者可以使用治理员身份登录”。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

用户检查更新显示changelog

3. 后门启用文件/目录

“6.41.4版本系统保存后门，，，，，，，攻击者可以使用该后门获取完整的busybox shell”，，，，，，，“6.41.4的后门启用文件或目录就是/pckg/option，，，，，，，只要该文件或目录保存，，，，，，，就可以启用后门”，，，，，，，研究职员体现。。。。。。。

4. 建设恣意目录

研究职员在软件包中发明另外一个误差，，，，，，，该误差使攻击者可以在系统上建设恣意目录。。。。。。。MikroTik在更新时代处置惩罚.NPK文件的方法：一旦遇到署名部分，，，，，，，将阻止软件包中SHA-1的盘算，，，，，，，这种处置惩罚方法导致只剖析部分信息字段，，，，，，，可用于在磁盘上的任何位置建设目录。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

研究职员编写的一个名为option_npk的工具

修复建议

现在厂商已宣布升级补丁以修复误差，，，，，，，详情请关注厂商主页：https://mikrotik.com。。。。。。。

参考链接

https://www.securityweek.com/mikrotik-router-vulnerabilities-can-lead-backdoor-creation

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

MikroTik 路由器多个误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线