WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Bộ định tuyến MikroTik tồn tại lỗ hổng có thể dẫn đến cài đặt backdoor
Một chuỗi các lỗ hổng trong bộ định tuyến MikroTik có thể cho phép kẻ tấn công cài đặt backdoor. Chuỗi lỗ hổng bắt đầu với việc lây nhiễm DNS, sau đó hạ cấp phiên bản RouterOS của MikroTik và kết thúc bằng việc kích hoạt backdoor (cửa hậu).
Trong tháng 9, Tenable đã tìm thấy và tiết lộ 4 lỗ hổng cho MikroTik. Theo Tenable, "bằng cách xâu chuỗi các lỗ hổng này, kẻ tấn công trái phép từ xa có quyền truy cập vào cổng 8291 trên bộ định tuyến, hạ cấp RouterOS, đặt lại mật khẩu hệ thống và giành được root shell”. MikroTik đã phát hành bản vá vào ngày 28 tháng 10 năm 2019.
Bước đầu tiên, nhiễm độc bộ đệm DNS. Dù cài đặt mặc định cho máy chủ DNS không được bật, bộ định tuyến vẫn duy trì bộ đệm DNS riêng. Các tra cứu DNS được xử lý bởi nhị phân 'phân giải', vốn được nối vào giao thức Winbox của RouterOS. Các tin nhắn đến cổng Winbox có thể được gửi đến các nhị phân khác nhau, bao gồm cả trình phân giải. Sử dụng ba lệnh có sẵn cho phép người dùng trái phép từ xa thực hiện các yêu cầu DNS thông qua bộ định tuyến đến máy chủ DNS do chính họ lựa chọn.
Bước tiếp theo là hạ cấp phần mềm xuống phiên bản 6.42.12 trở về trước. Việc hạ cấp xuống bất kỳ phiên bản nào trước v6.43 (từ v6.42.12 trở xuống) sẽ xóa tất cả mật khẩu người dùng và cho phép xác thực không cần mật khẩu.
Tuy nhiên, bằng cách sử dụng máy chủ DNS đã bị nhiễm độc, kẻ tấn công có thể đưa một loạt địa chỉ IP độc hại vào bộ đệm của bộ định tuyến, bao gồm cả địa chỉ tải xuống. Khi bộ định tuyến tìm kiếm bản nâng cấp, nó sẽ truy cập trang web của kẻ tấn công thay vì trang tải xuống MikroTik chính thống. Trang web độc hại này có thể được sử dụng để lừa RouterOS tải xuống phiên bản cũ.
"Khi người dùng cài đặt “bản cập nhật mới”, họ sẽ bỏ qua logic thông thường cấm hạ cấp thông qua cập nhật và chuyển sang RouterOS 6.41.4... Vì chúng tôi đã lừa RouterOS hạ cấp từ 6.45.6 xuống 6.41.4, mật khẩu trống mặc định của quản trị viên được thiết lập trở lại. Điều đó có nghĩa là kẻ tấn công có thể đăng nhập với tư cách quản trị viên".
Nhà nghiên cứu cho biết, phiên bản V6.41.4 được chọn vì tồn tại các lỗ hổng "cho phép cửa hậu trên hệ thống. Sử dụng các lỗ hổng đó giúp có được một shell BusyBox". Và Tenable đã tìm thấy một lỗ hổng khác trong quá trình cài đặt cho phép kẻ tấn công tạo các thư mục tùy ý trên hệ thống.
Cách MikroTik xử lý các tệp .NPK trong quá trình cập nhật (dừng tính toán SHA-1 một khi chạm vào phần chữ ký) có nghĩa là MikroTik sẽ phân tích trường 'thông tin một phần' được nối thêm. Điều này có thể được sử dụng để tạo thư mục bất cứ nơi nào trên đĩa. "Các tập tin hỗ trợ cửa hậu cho 6.41.4 chỉ đơn giản là /pckg/option. Miễn là tập tin đó tồn tại, ngay cả khi là một thư mục, cửa sau được kích hoạt".
Các lỗ hổng này đã được MikroTik khắc phục trong phiên bản 6.45.7 phát hành vào 10 tháng 9 năm 2019. Vì phương pháp tấn công đã được công khai, người dùng MikroTik được khuyến cáo nâng cấp lên phiên bản mới nhất càng sớm càng tốt.
Trong tháng 9, Tenable đã tìm thấy và tiết lộ 4 lỗ hổng cho MikroTik. Theo Tenable, "bằng cách xâu chuỗi các lỗ hổng này, kẻ tấn công trái phép từ xa có quyền truy cập vào cổng 8291 trên bộ định tuyến, hạ cấp RouterOS, đặt lại mật khẩu hệ thống và giành được root shell”. MikroTik đã phát hành bản vá vào ngày 28 tháng 10 năm 2019.
Bước đầu tiên, nhiễm độc bộ đệm DNS. Dù cài đặt mặc định cho máy chủ DNS không được bật, bộ định tuyến vẫn duy trì bộ đệm DNS riêng. Các tra cứu DNS được xử lý bởi nhị phân 'phân giải', vốn được nối vào giao thức Winbox của RouterOS. Các tin nhắn đến cổng Winbox có thể được gửi đến các nhị phân khác nhau, bao gồm cả trình phân giải. Sử dụng ba lệnh có sẵn cho phép người dùng trái phép từ xa thực hiện các yêu cầu DNS thông qua bộ định tuyến đến máy chủ DNS do chính họ lựa chọn.
Bước tiếp theo là hạ cấp phần mềm xuống phiên bản 6.42.12 trở về trước. Việc hạ cấp xuống bất kỳ phiên bản nào trước v6.43 (từ v6.42.12 trở xuống) sẽ xóa tất cả mật khẩu người dùng và cho phép xác thực không cần mật khẩu.
Tuy nhiên, bằng cách sử dụng máy chủ DNS đã bị nhiễm độc, kẻ tấn công có thể đưa một loạt địa chỉ IP độc hại vào bộ đệm của bộ định tuyến, bao gồm cả địa chỉ tải xuống. Khi bộ định tuyến tìm kiếm bản nâng cấp, nó sẽ truy cập trang web của kẻ tấn công thay vì trang tải xuống MikroTik chính thống. Trang web độc hại này có thể được sử dụng để lừa RouterOS tải xuống phiên bản cũ.
"Khi người dùng cài đặt “bản cập nhật mới”, họ sẽ bỏ qua logic thông thường cấm hạ cấp thông qua cập nhật và chuyển sang RouterOS 6.41.4... Vì chúng tôi đã lừa RouterOS hạ cấp từ 6.45.6 xuống 6.41.4, mật khẩu trống mặc định của quản trị viên được thiết lập trở lại. Điều đó có nghĩa là kẻ tấn công có thể đăng nhập với tư cách quản trị viên".
Nhà nghiên cứu cho biết, phiên bản V6.41.4 được chọn vì tồn tại các lỗ hổng "cho phép cửa hậu trên hệ thống. Sử dụng các lỗ hổng đó giúp có được một shell BusyBox". Và Tenable đã tìm thấy một lỗ hổng khác trong quá trình cài đặt cho phép kẻ tấn công tạo các thư mục tùy ý trên hệ thống.
Cách MikroTik xử lý các tệp .NPK trong quá trình cập nhật (dừng tính toán SHA-1 một khi chạm vào phần chữ ký) có nghĩa là MikroTik sẽ phân tích trường 'thông tin một phần' được nối thêm. Điều này có thể được sử dụng để tạo thư mục bất cứ nơi nào trên đĩa. "Các tập tin hỗ trợ cửa hậu cho 6.41.4 chỉ đơn giản là /pckg/option. Miễn là tập tin đó tồn tại, ngay cả khi là một thư mục, cửa sau được kích hoạt".
Các lỗ hổng này đã được MikroTik khắc phục trong phiên bản 6.45.7 phát hành vào 10 tháng 9 năm 2019. Vì phương pháp tấn công đã được công khai, người dùng MikroTik được khuyến cáo nâng cấp lên phiên bản mới nhất càng sớm càng tốt.
Theo Security Week
Chỉnh sửa lần cuối: