O MikroTik produz routers usados por muitas empresas de telecomunicações em todo o mundo e que executam o sistema operativo baseado no Linux RouterOS.
A vulnerabilidade, identificada como CVE-2018-7445, pode ser explorada por um hacker remoto e este tem a possiblidade de executar código remoto no sistema.
“A buffer overflow was found in the MikroTik RouterOS SMB service when processing NetBIOS session request messages. Remote attackers with access to the service can exploit this vulnerability and gain code execution on the system.” reads the advisory published by the company.
“The overflow occurs before authentication takes place, so it is possible for an unauthenticated remote attacker to exploit it.”
Os investigadores publicaram uma PoC que opera sobre um MikroTik’s x86 Cloud Hosted Router:
Os investigadores da Core Security informaram primeiramente a MikorTik da falha em 19 de fevereiro de 2018. A MikroTik estava a planear libertar uma correção na próxima versão em 1º de março de 2018 e pediu à empresa de segurança que não revelasse os detalhes da falha. Mesmo que a MikroTik não conseguisse emitir uma solução para o prazo estimado de 2018, a Core esperou o lançamento da nova versão ocorrida na segunda-feira, 12 de março de 2018.
Caso não seja possível instalar uma atualização, o MikroTik sugeriu a “desativação” do SMB.
A few days ago, security experts at Kaspersky Lab announced to have spotted a new sophisticated APT group that has been operating under the radar at lease since at least 2012. Kaspersky tracked the group and identified a strain of malware it used, dubbed Slingshot, to compromise systems of hundreds of thousands of victims in the Middle East and Africa.
The researchers have seen around 100 victims of Slingshot and detected its modules, located in Kenya, Yemen, Afghanistan, Libya, Congo, Jordan, Turkey, Iraq, Sudan, Somalia and Tanzania.
O grupo APT explorou vulnerabilidades de dia zero (CVE-2007-5633; CVE-2010-1592, CVE-2009-0824, em routers usados pelo provedor de hardware da rede da Letônia, Mikrotik, para soltar um spyware nos computadores das vítimas.
É urgente que os utlilizadores atualizem o RouterOS para a versão 6.41.3 para evitar problemas e resolver a vulnerabilidade identificada como CVE-2018-7445.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.