RouterOS-lek laat aanvaller op afstand MikroTik-routers rooten
Een beveiligingslek in RouterOS van fabrikant MikroTik dat in april van dit jaar werd gepatcht laat aanvallers op afstand kwetsbare routers rooten, zo heeft onderzoeker Jacob Baines dit weekend tijdens de DerbyCon-beveiligingsconferentie in de Verenigde Staten laten zien (pdf).
De kwetsbaarheid in het besturingssysteem van de routers wordt aangeduid met CVE-nummer CVE-2018-14847 en wordt al enige tijd door aanvallers gebruikt om kwetsbare routers aan te vallen. Zo liet een beveiligingsonderzoeker onlangs nog weten dat meer dan 200.000 MikroTik-routers via dit specifieke lek besmet zijn geraakt met een cryptominer. Ook zijn er duizenden gehackte MikroTik-routers gevonden waarbij onderzoekers de kwetsbaarheid hadden gebruikt om het netwerkverkeer van kwetsbare apparaten te onderscheppen.
Baines ontwikkelde een variant op de aanval. Zijn exploit maakt gebruik van de kwetsbaarheid om het beheerderswachtwoord te achterhalen en vervolgens een "option" package aan te maken waarmee een "developer backdoor" kan worden ingeschakeld. Na het uitvoeren van de exploit kan een aanvaller via Telnet of ssh als de rootgebruiker "devel" en het verkregen beheerderswachtwoord inloggen.
De onderzoeker merkt op dat het nog niet publiekelijk bekend was dat het beveiligingslek ook kan worden gebruikt om bestanden naar kwetsbare routers te schrijven. Gebruikers van een MikroTik-router met RouterOS 6.42 of ouder krijgen het advies om naar een nieuwere versie te updaten. Zoals gezegd is een update voor de kwetsbaarheid al bijna 6 maanden beschikbaar.
"Na het uitvoeren van de exploit kan een aanvaller via Telnet of ssh als de rootgebruiker "devel" en het verkregen beheerderswachtwoord inloggen."
Dus de router kan dan volledig gecontroleerd worden door de aanvaller.
"Na het uitvoeren van de exploit kan een aanvaller via Telnet of ssh als de rootgebruiker "devel" en het verkregen beheerderswachtwoord inloggen."
Dus de router kan dan volledig gecontroleerd worden door de aanvaller.
Hoe voorkom je dat je router geroot wordt?
"Na het uitvoeren van de exploit kan een aanvaller via Telnet of ssh als de rootgebruiker "devel" en het verkregen beheerderswachtwoord inloggen."
Dus de router kan dan volledig gecontroleerd worden door de aanvaller.
Hoe voorkom je dat je router geroot wordt?
"Zoals gezegd is een update voor de kwetsbaarheid al bijna 6 maanden beschikbaar."
Since the original Winbox issue, identified as CVE-2018-14847, was already patched back in April, we urge all MikroTik users to upgrade their devices to any recently released version, and as a precaution also change their passwords and inspect their configuration for unknown entries.
Please note that all of the recently released CVE entries have been fixed in RouterOS for several months, none of the newly discussed issues affect current products. More information from Tenable. Original post about the fixed issue, later called CVE-2018-14847, including more suggestions.
In short:
Regardless of version used, all RouterOS versions that have the default firewall enabled, are not vulnerable
If user has manually disabled the default firewall, their device might be vulnerable to CVE-2018-14847, which was patched in April
Newly revealed exploit relies on the above, already patched issue
Please upgrade, change password and inspect configuration for irregularities
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
