MikroTik RouterOS 中發現了可遠端利用的緩衝區溢位漏洞

MikroTik 是拉脫維亞的一家供應商，生產全球許多執行基於 Linux 作業系統的電信公司的路由器。該漏洞被追蹤為 CVE-2018-7445，遠端攻擊者可以利用該服務訪問該服務以在系統上執行任意程式碼。“在處理 NetBIOS 會話請求訊息時，MikroTik RouterOS SMB 服務中發現緩衝區溢位。 訪問該服務的遠端攻擊者可以利用此漏洞並在系統上獲得程式碼執行權。“閱讀該公司釋出的諮詢。“溢位發生在身份驗證發生之前，因此未經身份驗證的遠端攻擊者有可能利用此漏洞。”

研究人員釋出了與 MikroTik 的 x86 雲託管路由器配合使用的概念驗證程式碼證明。核心首先在 2018 年 2 月 19 日向 MikroTik 報告了這個漏洞 . MozroTik 計劃在 2018 年 3 月 1 日釋出下一個版本的修復程式，並要求 Core 不要洩露該漏洞的細節。 即使 MikroTik 無法在 2018 年截止日期前釋出修復程式，Core 仍在等待 2018 年 3 月 12 日星期一發布的新版本的釋出。如果無法安裝更新，MikroTik 建議禁用 SMB。幾天前，卡巴斯基實驗室的安全專家宣佈已經發現了一個新的複雜的 APT 組織，該組織從至少 2012 年起至少已經在雷達中執行。卡巴斯基跟蹤該組織，並確定了它使用的一系列惡意軟體，稱為 Slingshot，以 妥協中東和非洲數十萬受害者的系統。

研究人員已經在肯亞、葉門、阿富汗、利比亞、剛果、約旦、土耳其、伊拉克、蘇丹、索馬利亞和坦尚尼亞發現了約 100 名彈弓受害者並發現了其模組。肯亞和葉門迄今為止感染人數最多。 大多數受害者是個人而非組織，政府組織數量有限。APT 組利用拉脫維亞網路硬體提供商 Mikrotik 使用的路由器中的零日漏洞（CVE-2007-5633; CVE-2010-1592，CVE-2009-0824）將間諜軟體放入受害者的計算機中。

攻擊者首先破壞路由器，然後用檔案系統中的惡意程式碼替換它的一個 DDL，當使用者執行 Winbox Loader 軟體（Mikrotik 路由器管理套件）時，該庫將載入到目標計算機記憶體中。

該 DLL 檔案在受害者的機器上執行，並連線到遠端伺服器以下載最終有效負載，即卡巴斯基監控的攻擊中的 Slingshot 惡意軟體。目前還不清楚 Slingshot 團伙是否也利用 CVE-2018-7445 漏洞危害路由器。既然漏洞 CVE-2018-7445 漏洞的概念證明可用，那麼客戶需要將 RouterOS 升級到版本 6.41.3 以避免問題。