Keamanan peneliti menemukan Buffer Overflow kerentanan dalam MikroTik RouterOS

Computer Security News

Inti keamanan peneliti telah menemukan jarak jauh exploitasi buffer overflow kerentanan yang mempengaruhi MikroTik RouterOS dalam versi yang lebih tua dari satu yang terbaru.

Vendor Latvia MikroTik terkenal untuk memproduksi router yang digunakan oleh banyak perusahaan telekomunikasi yang menjalankan sistem operasi berbasis RouterOS Linux.

Buffer overflow kerentanan dilacak sebagai CVE-2018-7445, dan itu bisa dimanfaatkan oleh hacker remote akses ke layanan untuk mengeksekusi kode sewenang-wenang pada sistem.

“Mengarah ke buffer overflow ditemukan dalam Layanan SMB MikroTik RouterOS Saat memproses pesan permintaan NetBIOS sesi. Penyerang remote akses ke layanan dapat mengeksploitasi kerentanan ini dan mendapatkan kode eksekusi pada sistem” Serikat penasehat keamanan inti.

“Limpahan terjadi sebelum otentikasi mengambil tempat, jadi mungkin bagi penyerang jauh tidak terauthentikasi untuk mengeksploitasi itu”

Pakar keamanan dirilis suatu bukti dari konsep kode eksploitasi yang bekerja dengan x86 MikroTik’s Router host awan.

Pertama kalinya ketika inti keamanan melaporkan kerentanan terhadap MikroTik adalah pada 19 Februari tahun ini. Pada waktu itu, MikroTik berencana untuk melepaskan memperbaiki pada 1 Maret 2018 dan meminta inti untuk menjaga rincian Cacat secara pribadi.

Bahkan jika MikroTik tidak mampu mengeluarkan memperbaiki untuk batas waktu perkiraan, inti keamanan akan menunggu rilis versi baru yang terjadi pada 12 Maret 2018. Jika menginstal update adalah mustahil, MikroTik menyarankan menonaktifkan SMB.

Sayangnya, hanya beberapa hari yang lalu, Kaspersky Lab melaporkan mereka telah terdaftar baru kelompok APT canggih yang telah beroperasi sejak setidaknya 2012. Setelah melacak kelompok cyber, para ahli Kaspersky mengidentifikasi strain malware yang disebut katapel, digunakan untuk kompromi sistem di Timur Tengah dan Afrika.

Menurut peneliti, kelompok APT dieksploitasi kerentanan nol-hari (CVE-2007-5633; CVE-2010-1592, CVE-2009-0824.) di router digunakan oleh penyedia perangkat keras jaringan Latvia Mikrotik untuk menjatuhkan spyware ke pengguna mesin.

Para hacker kompromi router pertama, kemudian mengganti salah satu DDLs nya dengan yang berbahaya dari sistem file, dan memuat Perpustakaan di memori komputer target sebagai korban menjalankan perangkat lunak Winbox Loader, manajemen suite untuk Mikrotik Router.

Setelah itu, file DLL yang berjalan pada komputer korban dan menghubungkan ke server untuk men-download payload akhir – perangkat perusak katapel.

Saat ini, ada tidak ada informasi jika geng katapel telah dieksploitasi kerentanan CVE-2018-7445 untuk kompromi router, meskipun, ada suatu bukti dari konsep mengeksploitasi tersedia online untuk pengguna yang harus upgrade RouterOS ke versi 6.41.3 untuk menghindari keamanan masalah.


Leave a Reply

Your email address will not be published. Required fields are marked *