RouterOS-lek laat aanvaller op afstand MikroTik-routers rooten

[Captain Kirk]

Een beveiligingslek in RouterOS van fabrikant MikroTik dat in april van dit jaar werd gepatcht laat aanvallers op afstand kwetsbare routers rooten, zo heeft onderzoeker Jacob Baines dit weekend tijdens de DerbyCon-beveiligingsconferentie in de Verenigde Staten laten zien (pdf).

De kwetsbaarheid in het besturingssysteem van de routers wordt aangeduid met CVE-nummer CVE-2018-14847 en wordt al enige tijd door aanvallers gebruikt om kwetsbare routers aan te vallen. Zo liet een beveiligingsonderzoeker onlangs nog weten dat meer dan 200.000 MikroTik-routers via dit specifieke lek besmet zijn geraakt met een cryptominer. Ook zijn er duizenden gehackte MikroTik-routers gevonden waarbij onderzoekers de kwetsbaarheid hadden gebruikt om het netwerkverkeer van kwetsbare apparaten te onderscheppen.

Baines ontwikkelde een variant op de aanval. Zijn exploit maakt gebruik van de kwetsbaarheid om het beheerderswachtwoord te achterhalen en vervolgens een "option" package aan te maken waarmee een "developer backdoor" kan worden ingeschakeld. Na het uitvoeren van de exploit kan een aanvaller via Telnet of ssh als de rootgebruiker "devel" en het verkregen beheerderswachtwoord inloggen.

De onderzoeker merkt op dat het nog niet publiekelijk bekend was dat het beveiligingslek ook kan worden gebruikt om bestanden naar kwetsbare routers te schrijven. Gebruikers van een MikroTik-router met RouterOS 6.42 of ouder krijgen het advies om naar een nieuwere versie te updaten. Zoals gezegd is een update voor de kwetsbaarheid al bijna 6 maanden beschikbaar.

 

 

bron: security.nl