首页 > 安全钻研 > 安全传递 > 安全公告

MikroTik 路由器多个缝隙安全公告

颁布功夫 2019-10-31

缝隙编号和级别

CVE编号：CVE-2019-3976，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-3977，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-3978，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-3979，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

RouterOS Stable 6.45.6 and below

RouterOS Long-term 6.44.5 and below

缝隙概述

MikroTik RouterOS是拉脱维亚MikroTik公司的一套基于Linux开发的路由器操作系统。。。。。。。。该系统可部署在PC中，，，，，使其提供路由器职能。。。。。。。。

MikroTik 路由器中被曝多个缝隙，，，，，可导致攻击者获得后门。。。。。。。。该利用链始于 DNS 投毒，，，，，而后降级所装置的 MikroTik RouterOS 软件的版本，，，，，最终启用后门。。。。。。。。

缝隙简述如下：

CVE-2019-3976 蹊径遍历缝隙，，，，，该缝隙源于网络系统或产品未能正确地过滤资源或文件蹊径中的特殊元素。。。。。。。。攻击者可利用该缝隙接见受限目录之表的地位。。。。。。。。

CVE-2019-3977 该缝隙源于法式没有充分验证更新包下载的起源。。。。。。。。攻击者可利用该缝隙获取系统全数的用户名称和密码。。。。。。。。

CVE-2019-3978 攻击者可借助8291端口利用该缝隙进行DNS查问，，，，，可能造成缓存中毒。。。。。。。。

CVE-2019-3979 远程攻击者可借助恶意的响应利用该缝隙传染路由器的DNS缓存。。。。。。。。

钻研人员建议禁用Winbox，，，，，而改用SSH，，，，，但已经发现超过50万个Winbox事俘面向互联网。。。。。。。。

缝隙验证

通过利用以上缝隙，，，，，未经验证的远程攻击者可能接见路由器上的端口8291，，，，，执行 RouterOS 降级，，，，，沉新设置系统密码并可能获得 root shell。。。。。。。。

缝隙利用过程如下：

1. DNS缓存中毒

DNS服务器在默认禁用的情况下仍有其自身的DNS缓存，，，，，DNS查找由“解析器”二进造文件处置，，，，，该二进造文件是挂接在RouterOS的Winbox和谈中；；；；；；

8827太阳集团(Macau)股份有限公司-Official website

禁用的DNS服务器

8827太阳集团(Macau)股份有限公司-Official website

DNS缓存

发送到Winbox端口的新闻能够发送到分歧的二进造文件及解析器；；；；；；

而后挪用如下图片中的三条号令（3，，，，，4，，，，，6）就能允许未经身份验证的远程用户通过路由器向自己选择的DNS服务器发送DNS要求；；；；；；

8827太阳集团(Macau)股份有限公司-Official website

号令3、4、6

使用自界说的恶意DNS服务器，，，，，攻击者能够将一系列恶意IP地址（蕴含下载地址）写入到路由器的缓存中，，，，，当路由器升级时，，，，，将转到攻击者的恶意站点，，，，，其提供RouterOS的早期版本。。。。。。。。

2. 治理员身份登录

从6.43版起头，，，，，MikroTik密码处置机造做了更改，，，，，在MikroTik的有关调换日志中：“降级到6.43之前的任何版本，，，，，将断根所有效户密码并允许无密码身份验证”。。。。。。。。

钻研人员说：“当用户装置‘新更新’时，，，，，绕过不容通过更新降级的通例逻辑，，，，，并降级到RouterOS 6.41.4，，，，，由此治理员密码沉置到了默认的空密码，，，，，攻击者能够使用治理员身份登录”。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

用户查抄更新显示changelog

3. 后门启用文件/目录

“6.41.4版本系统存在后门，，，，，攻击者能够利用该后门获取齐全的busybox shell”，，，，，“6.41.4的后门启用文件或目录就是/pckg/option，，，，，只有该文件或目录存在，，，，，就能够启用后门”，，，，，钻研人员暗示。。。。。。。。

4. 创建肆意目录

钻研人员在软件包中发现另表一个缝隙，，，，，该缝隙使攻击者能够在系统上创建肆意目录。。。。。。。。MikroTik在更新期间处置.NPK文件的方式：一旦遇到署名部门，，，，，将终场软件包中SHA-1的推算，，，，，这种处置方式导致只解析部门信息字段，，，，，可用于在磁盘上的任何地位创建目录。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

钻研人员编写的一个名为option_npk的工具

建复建议

目前厂商已颁布升级补丁以建复缝隙，，，，，详情请关注厂商主页：https://mikrotik.com。。。。。。。。

参考链接

https://www.securityweek.com/mikrotik-router-vulnerabilities-can-lead-backdoor-creation

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

MikroTik 路由器多个缝隙安全公告

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线